nterface Vlan101
description NSOF-Vlan1
ip address 172.10.1.3 255.255.255.0
no ip route-cache
ip access-list Vlan_101_in in
!
interface Vlan102
description NSOF-Vlan2
ip address 172.10.2.3 255.255.255.0
no ip route-cache
ip access-list Vlan_102_in in
!
interface Vlan103
description MSOF-Vlan3
ip address 172.10.254.3 255.255.255.0
no ip route-cache
ip access-list Vlan_103_in in


ip access-list extended sdm_vlan103_in
remark SDM_ACL Category=1
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain
permit udp 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain
permit udp 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 80
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 110
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 443
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 25
deny any

ip access-list extended sdm_vlan102_in
deny any

ip access-list extended sdm_vlan101_in
permit any host 172.10.1.7
permit any host 172.10.1.5
permit any host 172.10.1.4
deny any

как я понял это acl предоставляет права доступа из сети 172.10.254.0 /24 к нашим хостам.....но почему тогда IN?

Потому-что

interface Vlan103
description MSOF-Vlan3
ip address 172.10.254.3 255.255.255.0

У вас интерфейс Vlan103 принадлежит сети 172.10.254.0/24

И естественно в нормальной ситуации на данный интерфейс могут придти пакеты с адресом отправителя только данной сети.
Адрес сети в ACL можно было даже не прописывать
(например так
permit udp any host 172.10.1.5 eq domain
)
но обычно это делают для ликвидации угрозы подмены ИП в пакетах, что вобще-то не актуально в данном случае, но пусть будет. Да и читаемость выше

до меня не доходит.....я думаю что когда IN - это значит в указанный интерфейс - тоесть в интерфейс Vlan 103, соответственно out - наоборот

я думаю что когда IN - это значит в указанный интерфейс - тоесть в интерфейс Vlan 103 »

Да, вы абсолютно правы. Я не пойму суть вопроса.

ну тогда последний ряд правил предполагает что указанный в них траффик будет проходить до хостов в VLAN 103 от хостов указанных в этом правиле?

Вы nterface Vlan101
description NSOF-Vlan1
ip address 172.10.1.3 255.255.255.0
no ip route-cache
ip access-list Vlan_101_in in
!
interface Vlan102
description NSOF-Vlan2
ip address 172.10.2.3 255.255.255.0
no ip route-cache
ip access-list Vlan_102_in in
!
interface Vlan103
description MSOF-Vlan3
ip address 172.10.254.3 255.255.255.0
no ip route-cache
ip access-list Vlan_103_in in


ip access-list extended sdm_vlan103_in
remark SDM_ACL Category=1
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain
permit udp 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain
permit udp 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 80
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 110
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 443
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.7 eq 25
deny any

ip access-list extended sdm_vlan102_in
deny any

ip access-list extended sdm_vlan101_in
permit any host 172.10.1.7
permit any host 172.10.1.5
permit any host 172.10.1.4
deny any



А как же таффик между подсетями 101 и 102?мне то необходимо чтобы весь траффик бегал между этими вланами....
Перевесли ISA на интерфейс FE0 - теперь у неё адрес 172.16.1.1

А как же таффик между подсетями 101 и 102?мне то необходимо чтобы весь траффик бегал между этими вланами....
Перевесли ISA на интерфейс FE0 - теперь у неё адрес 172.16.1.1 »

Это просто:

ip access-list extended sdm_vlan102_in
permit any network 172.10.2.0 0.0.0.255 network 172.10.1.0 0.0.0.255
deny any

ip access-list extended sdm_vlan101_in
permit any network 172.10.1.0 0.0.0.255 network 172.10.2.0 0.0.0.255
permit any host 172.10.1.7
permit any host 172.10.1.5
permit any host 172.10.1.4
deny any

Всё равно не понимаю....
ip access-list extended sdm_vlan102_in
permit any network 172.10.2.0 0.0.0.255 network 172.10.1.0 0.0.0.255
правило называется vlan102_in

тогда почему мы разрешаем правила из этой сети в другую? а не наоборот? ведь правило обзначает входящий траффик в сеть 172.10.2.0 а не исходящий....
тоесть по моей логике должно быть

ip access-list extended vlan102_in
permit any network 172.10.1.0 0.0.0.255 network 172.10.2.0 0.0.0.255
permit any host 172.16.1.1 network 172.10.2.0 0.0.0.255
deny any

ip access-list extended vlan101_in
permit any network 172.10.2.0 0.0.0.255 network 172.10.1.0 0.0.0.255
permit any host 172.16.1.1 network 172.10.1.0 0.0.0.255
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain
permit udp 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain
permit udp 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain
deny any


ip access-list extended vlan103_in
permit tcp host 172.10.1.4 network 172.10.254.0 0.0.0.255 eq domain
permit tcp host 172.10.1.5 network 172.10.254.0 0.0.0.255 eq domain
permit udp host 172.10.1.5 network 172.10.254.0 0.0.0.255 eq domain
permit udp host 172.10.1.5 network 172.10.254.0 0.0.0.255 eq domain
permit tcp host 172.16.1.1 network 172.10.254.0 0.0.0.255 eq 80
permit tcp host 172.16.1.1 network 172.10.254.0 0.0.0.255 eq 110
permit tcp host 172.16.1.1 network 172.10.254.0 0.0.0.255 eq 443
permit tcp host 172.16.1.1 network 172.10.254.0 0.0.0.255 eq 25
deny any


ip access-list FE0_in
permit any 172.10.1.0 0.0.0.255 host 172.16.1.1
permit any 172.10.2.0 0.0.0.255 host 172.16.1.1
permit tcp 172.10.254.0 0.0.0.255 host 172.16.1.1 eq 80
permit tcp 172.10.254.0 0.0.0.255 host 172.16.1.1 eq 110
permit tcp 172.10.254.0 0.0.0.255 host 172.16.1.1 eq 443
permit tcp 172.10.254.0 0.0.0.255 host 172.16.1.1 eq 25



Правила я так понимаю выглядят вот так
разрешить/запретить tcp/udp протокол откуда куда tcp|udp протокол


--------------------------------------
Вопрос такой - если на циско хочу указать определённый ip адрес для доступа к примеру через ssh мне необходимо написать так
access-list 23 permit 172.10.1.21 0.0.0.7 ?

--------------------------------------

тогда почему мы разрешаем правила из этой сети в другую? а не наоборот? ведь правило обзначает входящий траффик в сеть 172.10.2.0 а не исходящий....
тоесть по моей логике должно быть »

Я понял вашу проблему.
ACL привязывается к интерфейсу, и соответственно все операции расматриваются с позиций ИНТЕРФЕЙСА.

Т. е. ВХОДЯЩИЙ трафик для интерфейса (IN), является ИСХОДЯЩИМ из сети в которой находится интерфейс.

Тоесть получаетс так?

ip access-list extended vlan102_in
permit any network 172.10.2.0 0.0.0.255 network 172.10.1.0 0.0.0.255
permit any network 172.10.2.0 0.0.0.255 host 172.16.1.1
deny any

ip access-list extended vlan101_in
permit any network 172.10.1.0 0.0.0.255 network 172.10.2.0 0.0.0.255
permit any network 172.10.1.0 0.0.0.255 host 172.16.1.1
permit tcp host 172.10.1.4 eq domain
permit tcp host 172.10.1.5 network 172.10.254.0 0.0.0.255 eq domain
permit udp host 172.10.1.4 network 172.10.254.0 0.0.0.255 eq domain
permit udp host 172.10.1.5 network 172.10.254.0 0.0.0.255 eq domain
deny any


ip access-list extended vlan103_in
permit tcp network 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain
permit tcp network 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain
permit udp network 172.10.254.0 0.0.0.255 host 172.10.1.5eq domain
permit udp network 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain
permit tcp network 172.10.254.0 0.0.0.255 host 172.16.1.1eq 80
permit tcp network 172.10.254.0 0.0.0.255 host 172.16.1.1 eq 110
permit tcp network 172.10.254.0 0.0.0.255 host 172.16.1.1eq 443
permit tcp network 172.10.254.0 0.0.0.255 host 172.16.1.1 eq 25
deny any


ip access-list FE0_in
permit any host 172.16.1.1 network 172.10.1.0 0.0.0.255
permit any host 172.16.1.1 network 172.10.2.0 0.0.0.255
permit tcp host 172.16.1.1 network 172.10.254.0 0.0.0.255 eq 80
permit tcp host 172.16.1.1 network 172.10.254.0 0.0.0.255 eq 110
permit tcp host 172.16.1.1 network 172.10.254.0 0.0.0.255 eq 443
permit tcp host 172.16.1.1 network 172.10.254.0 0.0.0.255 eq 25

1) Вопрос такой - если на циско хочу указать определённый ip адрес для доступа к примеру через ssh мне необходимо написать так
access-list 23 permit 172.10.1.21 0.0.0.7 ? »

Чтобы не путаться с масками определенные IP адресы проще указывать через host

access-list 23 permit host 172.10.1.21

2) Так же можно (и обычно это более стандартный путь) наложить acl на виртуальный терминал
При этом используются три группы записей

;пользователя и привелегии
username root privilege 15 secret 5 $1$H0nM$06ytTz2z0nThOBj7OweIA.

; Сам АКЛ
access-list 23 remark SDM_ACL Category=17
access-list 23 permit 192.168.0.0 0.0.0.255
access-list 23 permit 172.23.0.0 0.0.255.255

;привязка терминала к списку доступа и уровня привелегии
line vty 5 15
access-class 23 in
transport input telnet ssh

3) Для http доступа применяется конструкция
ip http server
ip http access-class 23

ip access-list FE0_in
permit any host 172.16.1.1 network 172.10.1.0 0.0.0.255
permit any host 172.16.1.1 network 172.10.2.0 0.0.0.255
»

Чего-то подозрительно.
Вопросы
- У вас вся работа идет через прокси на ИСА?
Т.е. по этим правилам ни один пакет чей адресат во внешней сети до Cisco не дойдет.
Разрешен трафик только от ISA и то, для двух сетей.
Такое возможно только в случае импользования ИСА как прокси для всех протоколов, что нереально.
(Ходовые конструкции это прокси + кэширующий ДНС)

- 172.10.253.0 аутентифицироваться на ИСА не будут?

===
permit tcp host 172.16.1.1 network 172.10.254.0 0.0.0.255 eq 80
permit tcp host 172.16.1.1 network 172.10.254.0 0.0.0.255 eq 110
permit tcp host 172.16.1.1 network 172.10.254.0 0.0.0.255 eq 443
permit tcp host 172.16.1.1 network 172.10.254.0 0.0.0.255 eq 25 »

Конструкция неверна.

Она разрешает ISA ходить на какие-то непонятные http, https, pop3, smtp - сервера.
Не клиенты, а именно сервера.

У нАс вся работа идёт через.....щас скину...
http://s55.radikal.ru/i147/0811/d2/22e7983e6286.jpg
Вот схема....

Ps сама структура сети....как на Ваш взгляд?

ИСА у вас используется в качестве шлюза-фаервола с NAT.

Вот вы какие ДНС сервера указываете в настройках почтового и прочих серверов?
А какие адреса используются как SMTP-relay у почтового сервера?
Ведь не IP ИСА вы туда подставляете, не так ли?

шлюза фаервола и прокси сервера для vlan 101

Используются внутренние ДНС сервера. он сам себе рилэй

Используются внутренние ДНС сервера »

Хорошо, поставим вопрос по другому.
Кто именно возвращает внутренним серверам внешние IP, для внешних имен (кто именно производит разрешение имен для внешних систем)? Адрес приведите.

он сам себе рилэй »

Значит он должен напрямую (на уровне SMTP) адресоваться к внешним почтовым серверам, не так ли?
И внешние Сервера должны ему ответить.
Т.е. ваш почтовый сервер (172.10.1.6) послав SMTP запрос, скажем к mail.ru, будет ожидать ответа (адрес отправителя в пакете IP) именно от mail.ru, а не от внутреннего интерфейса ISA.

Иное дело что ИСА подменит адрес получателя в данном пакете со своего (внешнего) на внутренний Почтового сервера.
Но ведь почтовый сервер об этой операции ничего не знает. НАТ происходит скрытно от него

DNS 195.14.50.1
195.14.50.21
213.234.194.7

DNS 195.14.50.1
195.14.50.21
213.234.194.7 »

Ну и соответственно вы должны на FE0 разрешить входящий трафик от данных серверов.
Но с почтовыми, то так не выйдет. Вы же не перечислите все почтовые сервера по IP.

Но ИМХО проще, для начала, просто разрешить трафик получателем которого являются ваши сервера.
Можете ужесточить правила с указанием портов источника: 53, 25, 110, 80, 443

Как выучите ACL полностью - построите более сложные конструкции с проверкой синхронизации TCP-дейтаграм и прочими наворотами

Сейчас переткнул обратно в влан 101 isa - были проблемы с маршрутизацией.....тоесть ISA у меня теперь опять в Vlan 1 с адресом 172.10.1.7
ip access-list extended vlan102_in
permit any network 172.10.2.0 0.0.0.255 network 172.10.1.0 0.0.0.255
deny any

ip access-list extended vlan101_in
permit any host
permit any network 172.10.1.0 0.0.0.255 network 172.10.2.0 0.0.0.255
permit tcp any host 172.10.1.4 eq domain
permit tcp any host 172.10.1.5 eq domain
permit udp any host 172.10.1.4 eq domain
permit udp any host 172.10.1.5 eq domain
permit tcp any host 172.10.1.6 eq 25
deny any


ip access-list extended vlan103_in
permit tcp network 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain
permit tcp network 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain
permit udp network 172.10.254.0 0.0.0.255 host 172.10.1.5eq domain
permit udp network 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain
permit tcp network 172.10.254.0 0.0.0.255 host 172.16.1.1eq 80
permit tcp network 172.10.254.0 0.0.0.255 host 172.16.1.1 eq 110
permit tcp network 172.10.254.0 0.0.0.255 host 172.16.1.1eq 443
permit tcp network 172.10.254.0 0.0.0.255 host 172.16.1.1 eq 25
deny any


Правильно?

ip access-list extended vlan101_in
permit any host »

Согласно правилам обработки ACL, все строки ниже
permit any host
НИКОГДА не будут задействованы, т.к. данное правило верно всегда

Т. е. вы просто разрешаете весь входящий трафик

Можете мне написать правильный ACL для моего случая?
Разрешить всеь траффик между Vlan 101 и vlan 102
Разрешить входящий трафик типа smtp pop3 http и https до хостов 172.10.1.4 и 172.10.1.5 из vlan 103 в vlan101 + траффик типа dns из vlan 103 в vlan101 до хостов 172.10.1.4 и 172.10.1.5

Вопрос отдельно - что делает команда ip source route?И почему циска рекомендует отключить данный параметр?