Du må være registrert og logget inn for å kunne legge ut innlegg på freak.no
X
LOGG INN
... eller du kan registrere deg nå
Dette nettstedet er avhengig av annonseinntekter for å holde driften og videre utvikling igang. Vi liker ikke reklame heller, men alternativene er ikke mange. Vær snill å vurder å slå av annonseblokkering, eller å abonnere på en reklamefri utgave av nettstedet.
  5 1403
ओम नमो नारायण
Dodecha's Avatar
DonorCrew
Nå står jeg fast enn så lenge, enten har mangelen på nattesøvn gjort meg totalt ubrukelig, eller så er det noe jeg totalt missforstått.

Switch oppsett:

Kode

ip dhcp server 
ip dhcp pool network "VLAN 100"
address low 192.168.1.100 high 192.168.1.200 255.255.255.0 
exit
ip dhcp pool network "VLAN 200"
address low 192.168.2.100 high 192.168.2.200 255.255.255.0 
exit

ip access-list extended VLAN-100-NO
deny ip 192.168.2.0 255.255.255.0 any ace-priority 20
permit ip any any ace-priority 100
exit
ip access-list extended VLAN-200-NO
deny ip 192.168.1.0 255.255.255.0 any ace-priority 20
permit ip any any ace-priority 100
exit

interface vlan 100
 name "VLAN100" 
 ip address 192.168.1.17 255.255.255.0
 service-acl input "VLAN-100-NO" default-action deny-any 
!

interface vlan 200
 name "VLAN200" 
 ip address 192.168.2.17 255.255.255.0 
 service-acl input "VLAN-200-NO" default-action deny-any 
!

interface gigabitethernet1
 switchport mode access 
 switchport access vlan 100 
!

interface gigabitethernet2
 switchport mode access 
 switchport access vlan 200 
!
Jeg får fremdeles pinget enheter som er på forskjellige VLAN, noe jeg vil fjerne, ingen enheter på forskjellige VLAN skulle kunne snakke med hverandre.
Jeg antar at det er noe særdeles grunnleggende jeg noober med her, og ja, jeg må ha switchen i layer 3 mode.
Sist endret av Dodecha; 3. januar 2018 kl. 14:41.
Hvordan er konfigurasjonen på portene på switchen og VLAN tag's der?
ओम नमो नारायण
Dodecha's Avatar
Trådstarter DonorCrew
darklsayer322: Se på de nederste linjene, interfacene er i access mode.
<?php echo 'VIF'; ?>
datagutten's Avatar
permit-regelen har høyere prioritet enn deny, hvis det er som på andre brannmurer betyr det at permit evalueres først og dermed tillater all trafikk uten at deny-regelen noen gang evalueres.
ओम नमो नारायण
Dodecha's Avatar
Trådstarter DonorCrew
Fra Cisco sine egne sider:
Enter the priority of the ACE in the Priority field. The ACE with the highest priority is processed first. The highest priority is 1. It has a range of 1 to 2147483647.
Vis hele sitatet...
Kilde.
ओम नमो नारायण
Dodecha's Avatar
Trådstarter DonorCrew
Da har jeg løst det, og i høflighetens navn poster jeg løsningen her.

Jeg er selvlært, så dere guruene får beklage min simple forklaring:
Når en IP pakke routes videre, så endres source-adressen i pakken til routerens adresse, dette skjer i hver "hop" i en routing, så man må tenke omvendt: I stedet for å sperre pakker fra en adresse, så sperrer man heller alle utgående ting som er adressert til nettverk man ikke skal ha tilgang til. Du ser i ACL listene nedenfor at det er spesifisert f.eks deny ip any 192.168.2.0, så alle pakker som skal til 192.168.2.0 blir droppet.

Jeg dreit meg litt ut på ACL entryene, når du spesifiserer source/destination IP så er det ikke nettmasker som spesifiseres etter IP, men noe cisco kaller "Wildcard masks", som er det stikk motsatte av en nettmaske: 0 betyr at bit'en må stemme, 1 betyr at bit'en er likegyldig.
Wiki: Wildcard mask

Kode

vlan database
vlan 100,200

ip dhcp server 

ip dhcp pool network "VLAN 100"
address low 192.168.1.100 high 192.168.1.254 255.255.255.0 
exit
ip dhcp pool network "VLAN 200"
address low 192.168.2.100 high 192.168.2.254 255.255.255.0 
exit

ip access-list extended VLAN-100-NO
deny ip any 192.168.2.0 0.0.0.255 ace-priority 10
exit
ip access-list extended VLAN-200-NO
deny ip any 192.168.1.0 0.0.0.255 ace-priority 10
exit

interface vlan 100
 name "VLAN 100" 
 ip address 192.168.1.17 255.255.255.0 
 service-acl input VLAN-100-NO default-action permit-any 
!
interface vlan 200
 name "VLAN 200" 
 ip address 192.168.2.17 255.255.255.0 
 service-acl input VLAN-200-NO default-action permit-any 
!

interface gigabitethernet1
 switchport mode access 
 switchport access vlan 100 
!
interface gigabitethernet2
 switchport mode access 
 switchport access vlan 200 
!
exit
I stedet for å ha en regel på tillat trafikk inn, tar jeg å lager regler for å nekte viss trafikk ut (til andre vlan) og slippe resten igjennom.
Sist endret av Dodecha; 8. januar 2018 kl. 16:55.