iT邦幫忙

0

Cisco Core Switch routing 問題

stanley75 2014-07-30 17:48:472695 瀏覽

請教各位大大
一台core上切很多vlan,vlan互通,但某幾個vlan想進firewall作控管,
ex.ip route 1.1.1.0(<vlan ip) 255.255.255.0 10.10.10.10(<firewall ip)
traceroute結果仍是在core就處理掉,並未到firewall上
是哪裡設定錯誤嗎?

登入發表討論
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

0
michaelwan
iT邦高手 1 級 ‧ 2014-07-31 00:16:40
最佳解答

core上的L3 vlan會有一筆直接連線的預設路由, 印象中是比手動的靜態路由優先權高.
雖然在core上跑ACL就可以(放在防火牆上跑的用途?),如果是小弟要做的話,
core上建立L2 vlan, 再把firewall連接的interface設定相同的vlan.

看更多先前的回應...收起先前的回應...
stanley75 iT邦新手 5 級 ‧ 2014-07-31 09:03:20 檢舉

ACL有嘗試過,但似乎起不了作用,以下是ACL的設定
(10.6.5.0/24 deny 10.6.2.0/24、10.6.3.0/24、10.6.6.0/24、10.6.7.0/24及10.6.248.0/24,但permit 10.6.248.0/24的CIFS)
access-list 105 deny ip 10.6.5.0 0.0.0.255 10.6.2.0 0.0.0.255
access-list 105 deny ip 10.6.5.0 0.0.0.255 10.6.3.0 0.0.0.255
access-list 105 deny ip 10.6.5.0 0.0.0.255 10.6.6.0 0.0.0.255
access-list 105 deny ip 10.6.5.0 0.0.0.255 10.6.7.0 0.0.0.255
access-list 105 permit tcp 10.6.5.0 0.0.0.255 10.6.248.0 0.0.0.255 eq 445
access-list 105 deny ip 10.6.5.0 0.0.0.255 10.6.248.0 0.0.0.255
access-list 105 permit ip any any

stanley75 iT邦新手 5 級 ‧ 2014-07-31 09:04:19 檢舉

然後再vlan上 ip access-group 105 out
不曉得哪裡出錯了><

michaelwan iT邦高手 1 級 ‧ 2014-07-31 13:36:07 檢舉

10.6.5.0/24拒絕所有連線, 只允許10.6.248.0/24的CIFS?

stanley75 iT邦新手 5 級 ‧ 2014-07-31 14:20:06 檢舉

是的,還有允許10.6.4.0/24

michaelwan iT邦高手 1 級 ‧ 2014-07-31 14:47:11 檢舉

只允許TCP 445應該要用\\IP的方式連線, 不能用UNC或是網芳.
保險點UDP 137,138, TCP 139都開起來試試, 順便加個LOG. 確認後再關閉.

eeie9999 iT邦新手 4 級 ‧ 2014-08-02 03:04:40 檢舉

試試ip access-group 105 in

michaelwan iT邦高手 1 級 ‧ 2014-08-04 10:52:28 檢舉

ACL的寫法, 應該要放IN

登入發表回應

我要發表回答

立即登入回答
iThome鐵人賽
參賽組數
1123
團體組數
52
累計文章數
23096
完賽人數
656
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 2018鐵人賽 javascript 2017鐵人賽 python windows php c# windows server linux css react 程式設計 vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙