iT邦幫忙

0

Cisco Core Switch routing 問題

  • 分享至 

  • xImage

請教各位大大
一台core上切很多vlan,vlan互通,但某幾個vlan想進firewall作控管,
ex.ip route 1.1.1.0(<vlan ip) 255.255.255.0 10.10.10.10(<firewall ip)
traceroute結果仍是在core就處理掉,並未到firewall上
是哪裡設定錯誤嗎?

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

0
michaelwan
iT邦高手 1 級 ‧ 2014-07-31 00:16:40
最佳解答

core上的L3 vlan會有一筆直接連線的預設路由, 印象中是比手動的靜態路由優先權高.
雖然在core上跑ACL就可以(放在防火牆上跑的用途?),如果是小弟要做的話,
core上建立L2 vlan, 再把firewall連接的interface設定相同的vlan.

看更多先前的回應...收起先前的回應...
stanley75 iT邦新手 5 級 ‧ 2014-07-31 09:03:20 檢舉

ACL有嘗試過,但似乎起不了作用,以下是ACL的設定
(10.6.5.0/24 deny 10.6.2.0/24、10.6.3.0/24、10.6.6.0/24、10.6.7.0/24及10.6.248.0/24,但permit 10.6.248.0/24的CIFS)
access-list 105 deny ip 10.6.5.0 0.0.0.255 10.6.2.0 0.0.0.255
access-list 105 deny ip 10.6.5.0 0.0.0.255 10.6.3.0 0.0.0.255
access-list 105 deny ip 10.6.5.0 0.0.0.255 10.6.6.0 0.0.0.255
access-list 105 deny ip 10.6.5.0 0.0.0.255 10.6.7.0 0.0.0.255
access-list 105 permit tcp 10.6.5.0 0.0.0.255 10.6.248.0 0.0.0.255 eq 445
access-list 105 deny ip 10.6.5.0 0.0.0.255 10.6.248.0 0.0.0.255
access-list 105 permit ip any any

stanley75 iT邦新手 5 級 ‧ 2014-07-31 09:04:19 檢舉

然後再vlan上 ip access-group 105 out
不曉得哪裡出錯了><

10.6.5.0/24拒絕所有連線, 只允許10.6.248.0/24的CIFS?

stanley75 iT邦新手 5 級 ‧ 2014-07-31 14:20:06 檢舉

是的,還有允許10.6.4.0/24

只允許TCP 445應該要用\\IP的方式連線, 不能用UNC或是網芳.
保險點UDP 137,138, TCP 139都開起來試試, 順便加個LOG. 確認後再關閉.

eeie9999 iT邦新手 4 級 ‧ 2014-08-02 03:04:40 檢舉

試試ip access-group 105 in

ACL的寫法, 應該要放IN

我要發表回答

立即登入回答