Появилась необходимость на той же самой циско 1811 сделать ещё один дополнительный vlan - он у нас будет vlan 103

Необходимо сделать deny all traffic между этим vlan 103 и vlan 101 и vlan 102.

Исключением будут только dns - из vlan 103 в vlan 101 по протоколу dns до хостов 172.10.1.4 и 172.10.1.5
Так же такие типы протоколов - http , https, smtp ,pop3 из vlan 3 в vlan 1 до хоста 172.10.1.7

Как это сделать с помощью консоли ?необходимо воспользоваться командой access-list.....а вот как и что.....помогитк плиз.

Пояснения - на данный момент мне необходимо предоставить нным людям доступ в интернет - я выбрал именно такой способ.
На данный момент ISA у меня находится ещё в vlan 1.
На этой неделе буду переводить её на FE.

Соответственно второй ряд вопросов , они уже правда обсуждались, но всё-таки - по поводу перевода ISA сервер.
Я меняю ip у isa на 128.32.1.2 а циско ставлю 128.32.1.1 - подсети 24 - далее произвожу нные манипуляции на ИСА в её настройках...далее меняю параметр ip route на циско на ip route 0.0.0.0 0.0.0.0 128.32.1.2 или ip route 0.0.0.0 0.0.0.0 fastethernet 0
Всё - по идеи после этих настроек проброс портов должен работать с isa до серверов в vlan 101 должен работать
После этого я убираю разрешения всех протоколов кроме днс от vlan 103 к vlan 101.

Будет вот так.

ISP
|
ISA(internal 128.32.1.2)
|
CISCO(FE0 - 128.32.1.1)
|
Clients - vlan 101, vlan 102, vlan 103

ПРАВИЛЬНО?

http://www.dstu.edu.ru/mirrors/www.bog.pp.ru/work/ios_acl.html

Честно гворя....с трудом что-то понимаю.....можете на примере показать именно моего случая?
Вот кусок конфига

! NSOFISA01
interface FastEthernet0
ip address 128.32.1.2 255.255.255.0
no ip route-cache
no shutdown
duplex auto
speed auto
!
interface FastEthernet1
no ip address
no ip route-cache
shutdown
duplex auto
speed auto
! NSOFDC01
interface FastEthernet2
switchport access vlan 101
! NSOFDC02
interface FastEthernet3
switchport access vlan 101
! NSOFEX01
interface FastEthernet4
switchport access vlan 101
! NSOFAPS01
interface FastEthernet5
switchport access vlan 101
!
interface FastEthernet6
switchport access vlan 101
! NSOFSW01
interface FastEthernet7
switchport access vlan 101
! NSOFSW02
interface FastEthernet8
switchport access vlan 102
! MSOFSW01
interface FastEthernet9
switchport access vlan 103
!
interface Vlan1
no ip address
!
interface Vlan101
description NSOF-Vlan1
ip address 172.10.1.3 255.255.255.0
no ip route-cache
!
interface Vlan102
description NSOF-Vlan2
ip address 172.10.2.3 255.255.255.0
no ip route-cache
!
interface Vlan103
description MSOF-Vlan3
ip address 172.10.254.3 255.255.255.0
no ip route-cache
!
interface Async1
no ip address
encapsulation slip
no ip route-cache
shutdown
!
ip route 0.0.0.0 0.0.0.0 172.10.1.7
!
!
no ip http server
no ip http secure-server
!
access-list 23 permit 172.10.0.0 0.0.255.255
access-list 23 deny any
dialer-list 1 protocol ip permit
!
!
!
!
!
!

access-list 23 permit 172.10.0.0 0.0.255.255
access-list 23 deny any

Вот стандартный access-list фильтрующий от источника.
Его идентификатор это номер 23
Содержит две записи.

он пропускает любой трафик из 172.10.0.0/16 сети
и режет остальной.

access-list 23 deny any
ставится для читаемости, т.к. в cписках доступа Cisco используется правило неявного закрывающего deny all
Список просматривается сверху вниз. Срабатывает первое встретившее удовлетворяющее правило и
просмотр списка прекращается.

====
Применение же данного списка для фильтрации Входящих пакетов
Привязка к интерфейсу FE0

conf t
int FE0
ip access-group 23 in
====

убиение списка
no ip assess-list 23

===
отвязка от интерфейса
no ip access-group 23

===

Думаю проще создать списки доступа в SDM, т. к. в консоли их создавать заморочнее и больше вероятность ошибиться.
А привязать к интерфейсу можно и в консоли.
===

вот теперь уже понятнее....спасибо....результаты скоро предоставлю)

кстати - Данное сопоставление будет правильным?

network 172.10.254.0 0.255.255.255 ?

Удобнее использовать именованные, а не нумерованные списки доступа. они появились с IOS 11.2

Различие:
нумерованный - access-list
именованный - ip access-list

кстати - Данное сопоставление будет правильным?

network 172.10.254.0 0.255.255.255 ?

или же просто писать any

тоесть
permit udp any eq domain host 172.10.1.4 eq domain

Получается вот так
!
interface Vlan103
description MSOF-Vlan3
ip address 172.10.254.3 255.255.255.0
no ip route-cache
ip access-group vlan_103_in in
!
interface Async1
no ip address
encapsulation slip
no ip route-cache
shutdown
!
ip route 0.0.0.0 0.0.0.0 172.10.1.7
!
!
no ip http server
no ip http secure-server
!
ip access-list extended vlan_103_in
permit udp any eq domain host 172.10.1.4 eq domain
permit udp any eq domain host 172.10.1.5 eq domain
permit tcp any eq domain host 172.10.1.4 eq domain
permit tcp any eq domain host 172.10.1.5 eq domain
permit tcp any eq smtp host 172.10.1.7 eq smtp
permit tcp any eq pop3 host 172.10.1.7 eq pop3
permit tcp any eq www host 172.10.1.7 eq www
permit tcp any eq 443 host 172.10.1.7 eq 443


НО НЕ МОГУ ПОНЯТЬ .....почему in а не out

ip access-list extended All-Vizor-Internal_DNS
remark All-Vizor-Internal_DNS
remark SDM_ACL Category=2
permit tcp 172.23.0.0 0.0.255.255 any eq domain
permit udp 172.23.0.0 0.0.255.255 any eq domain
permit tcp 192.168.0.0 0.0.0.255 any eq domain
permit udp 192.168.0.0 0.0.0.255 any eq domain
remark All-Vizor-Internal_DNS
remark SDM_ACL Category=2


Вот ACL созданный в SDM
он разрешает всем хостам из двух сетей обращаться к DNS серверам.
===

permit udp any eq domain host 172.10.1.4 eq domain

не верно, т.к. исходящим портом будет не 53 (domain)

===
НО НЕ МОГУ ПОНЯТЬ .....почему in а не out

Это связано с особенностями применения списков тдоступа.

В первую очередь обрабатываются входящие пакеты
Во-вторую - маршрутизация
В-третью исходящие
В последнюю NAT.

Для уменьшениянагрузки на маршрутизатор и наибольшей скорости работы, стараются основной трафик отсечь на входе

interface Vlan103
description MSOF-Vlan3
ip address 172.10.254.3 255.255.255.0
no ip route-cache
ip access-list vlan_103_out out
ip access-group vlan_103_in in
!
interface Async1
no ip address
encapsulation slip
no ip route-cache
shutdown
!
ip route 0.0.0.0 0.0.0.0 172.10.1.7
!
!
no ip http server
no ip http secure-server
!
access-list vlan_103_out permit udp any host 172.10.1.4 eq domain
access-list vlan_103_out permit udp any host 172.10.1.5 eq domain
access-list vlan_103_out permit tcp any host 172.10.1.4 eq domain
access-list vlan_103_out permit tcp any host 172.10.1.5 eq domain
access-list vlan_103_out permit tcp any host 172.10.1.7 eq smtp
access-list vlan_103_out permit tcp any host 172.10.1.7 eq pop3
access-list vlan_103_out permit tcp any host 172.10.1.7 eq www
access-list vlan_103_out permit tcp any host 172.10.1.7 eq 443
access-list vlan_103_out deny any
!
ip access-list extended vlan_103_in
deny any
!



Так то что я понял....
Поскольку я привязую группу ACL за влоном, соответственно я могу писать access-list vlan_103_out permit udp ANY.



Этими правилами я запрещаю исходящий траффик кроме выбранного.
И запрещаю входящий ото всюду.


Прочитал Ваше последнее соолбщение....

исходя из него я понял что можно сделать и так.
interface Vlan103
description MSOF-Vlan3
ip address 172.10.254.3 255.255.255.0
no ip route-cache
ip access-group vlan_103_out out
ip access-group vlan_103_in in
!
interface Async1
no ip address
encapsulation slip
no ip route-cache
shutdown
!
ip route 0.0.0.0 0.0.0.0 172.10.1.7
!
!
no ip http server
no ip http secure-server
!
ip access-list extended vlan_103_out
permit udp any host 172.10.1.4 eq domain
permit udp any host 172.10.1.5 eq domain
permit tcp any host 172.10.1.4 eq domain
permit tcp any host 172.10.1.5 eq domain
permit tcp any host 172.10.1.7 eq smtp
permit tcp any host 172.10.1.7 eq pop3
permit tcp any host 172.10.1.7 eq www
permit tcp any host 172.10.1.7 eq 443
deny any
!
ip access-list extended vlan_103_in
deny any
!



Или всё же нельзя?

Можно и так и так.
Единственное нужно проверить прохождение ответного DNS-трафика от 172.10.1.4 и 172.10.1.5

Я боюсь что правило

ip access-list extended vlan_103_in
deny any

как обрабатываемое первым просто зарежет весь входящий трафик из 103 (172.10.254.3 255.255.255.0)

===
Попробуйте обойтись без правил для OUT

сделайте три набора IN для каждого VLAN интерфейса

На данный момент у меня нет возможности поставит такой эксперемент(
Вечером попробую....
Так ...ну по результатам отпишу.

ip access-list extended vlan_103_out
permit udp any host 172.10.1.4 eq domain
permit udp any host 172.10.1.5 eq domain
permit tcp any host 172.10.1.4 eq domain
permit tcp any host 172.10.1.5 eq domain
permit tcp any host 172.10.1.7 eq smtp
permit tcp any host 172.10.1.7 eq pop3
permit tcp any host 172.10.1.7 eq www
permit tcp any host 172.10.1.7 eq 443
deny any »

Кстати, данное правило нерабочее, т. к. из интерфейса 103 ни при каких условиях не выйдет пакет адресованный к сети 172.10.1.0.
Более того, по правилу неявного Deny оно зарежет весь трафик в сеть 172.10.254.0

А эти правила будет работать?

interface Vlan103
description MSOF-Vlan3
ip address 172.10.254.3 255.255.255.0
no ip route-cache
ip access-list vlan_103_out out
ip access-group vlan_103_in in
!
interface Async1
no ip address
encapsulation slip
no ip route-cache
shutdown
!
ip route 0.0.0.0 0.0.0.0 172.10.1.7
!
!
no ip http server
no ip http secure-server
!
access-list vlan_103_out permit udp any host 172.10.1.4 eq domain
access-list vlan_103_out permit udp any host 172.10.1.5 eq domain
access-list vlan_103_out permit tcp any host 172.10.1.4 eq domain
access-list vlan_103_out permit tcp any host 172.10.1.5 eq domain
access-list vlan_103_out permit tcp any host 172.10.1.7 eq smtp
access-list vlan_103_out permit tcp any host 172.10.1.7 eq pop3
access-list vlan_103_out permit tcp any host 172.10.1.7 eq www
access-list vlan_103_out permit tcp any host 172.10.1.7 eq 443
access-list vlan_103_out deny any
!
ip access-list extended vlan_103_in
deny any
!

Между другими вланами траффик должен проходить любой....поэтому это уж будет слишком намудрёно....

interface Vlan101
description NSOF-Vlan1
ip address 172.10.1.3 255.255.255.0
no ip route-cache
!
interface Vlan102
description NSOF-Vlan2
ip address 172.10.2.3 255.255.255.0
no ip route-cache
!
interface Vlan103
description MSOF-Vlan3
ip address 172.10.254.3 255.255.255.0

Необходимо сделать deny all traffic между этим vlan 103 и vlan 101 и vlan 102.
Исключением будут только dns - из vlan 103 в vlan 101 по протоколу dns до хостов 172.10.1.4 и 172.10.1.5
Так же такие типы протоколов - http , https, smtp ,pop3 из vlan 3 в vlan 1 до хоста 172.10.1.7 »

===
Пары, разрешить/запретить сформируйте.
Например:

172.10.254.3 255.255.255.0 -> 172.10.1.4 domain permit
172.10.254.3 255.255.255.0 -> 172.10.1.5 domain permit


103 <-> 101 deny
102 <-> 101 deny
103 <-> 102 deny
===

Так же такие типы протоколов - http , https, smtp ,pop3 из vlan 3 в vlan 1 до хоста 172.10.1.7 »
Из какой сети?

про пары ничего не понял...(
из той же самой 172.10.2.54.0 /24

так короче если делать с in правилами у меня получилось вот так....что-то очень замудрено....
! NSOFISA01
interface FastEthernet0
ip address 128.32.1.2 255.255.255.0
no ip route-cache
no shutdown
duplex auto
speed auto
ip access-list FE0_in in
!
interface FastEthernet1
no ip address
no ip route-cache
shutdown
duplex auto
speed auto
! NSOFDC01
interface FastEthernet2
switchport access vlan 101
! NSOFDC02
interface FastEthernet3
switchport access vlan 101
! NSOFISA01
interface FastEthernet4
switchport access vlan 101
! NSOFEX01
interface FastEthernet5
switchport access vlan 101
! NSOFAPS01
interface FastEthernet6
switchport access vlan 101
! NSOFSW01
interface FastEthernet7
switchport access vlan 101
! NSOFSW02
interface FastEthernet8
switchport access vlan 102
! MSOFSW01
interface FastEthernet9
switchport access vlan 103
!
interface Vlan1
no ip address
!
interface Vlan101
description NSOF-Vlan1
ip address 172.10.1.3 255.255.255.0
no ip route-cache
ip access-list Vlan_101_in in
!
interface Vlan102
description NSOF-Vlan2
ip address 172.10.2.3 255.255.255.0
no ip route-cache
ip access-list Vlan_102_in in
!
interface Vlan103
description MSOF-Vlan3
ip address 172.10.254.3 255.255.255.0
no ip route-cache
!
interface Async1
no ip address
encapsulation slip
no ip route-cache
shutdown
!
ip route 0.0.0.0 0.0.0.0 172.10.1.7
!
!
no ip http server
no ip http secure-server
!
ip access-list FE0_in permit 172.10.1.0 0.255.255.255
ip access-list FE0_in permit 172.10.2.0 0.255.255.255
ip access-list FEO_in permit tcp any network 172.10.254.0 0.255.255.255 eq smtp
ip access-list FEO_in permit tcp any network 172.10.254.0 0.255.255.255 eq pop3
ip access-list FEO_in permit tcp any network 172.10.254.0 0.255.255.255 eq www
ip access-list FEO_in permit tcp any network 172.10.254.0 0.255.255.255 eq 443
deny any
!
ip access-list Vlan_101_in pemit 172.10.1.0 0.255.255.255
ip access-list Vlan_101_in pemit 172.10.2.0 0.255.255.255
ip access-list Vlan_101_in permit tcp any network 172.10.254.0 0.255.255.255 eq domain
ip access-list Vlan_101_in permit udp any network 172.10.254.0 0.255.255.255 eq domainс
deny any
!
ip access-list Vlan_102_in permit 172.10.2.0 0.255.255.255
ip access-list Vlan_102_in pemit 172.10.1.0 0.255.255.255
deny any
!
ip access-list extended vlan_103_in
deny any
!


мозг начинает плавится)

Всё таки помоему лчуше работать с правилом out для одного интерфейса...

пары....
172.10.254.3 255.255.255.0 -> 172.10.1.4 domain permit
172.10.254.3 255.255.255.0 -> 172.10.1.5 domain permit
172.10.254.0 /24 -> 172.10.1.7 smtp,pop3,http,https permit

interface Vlan103
description MSOF-Vlan3
ip address 172.10.254.3 255.255.255.0
no ip route-cache
ip access-group vlan_103_in in
ip access-group vlan_103_out out
!
interface Async1
no ip address
encapsulation slip
no ip route-cache
shutdown
!
ip route 0.0.0.0 0.0.0.0 128.32.1.1
!
!
no ip http server
no ip http secure-server
!
ip access-list extended vlan_103_in
permit udp host 172.10.1.4 any eq domain
permit udp host 172.10.1.5 any eq domain
permit tcp host 172.10.1.4 any eq domain
permit tcp host 172.10.1.5 any eq domain
permit tcp host 128.32.1.1 any eq smtp
permit tcp host 128.32.1.1 any eq pop3
permit tcp host 128.32.1.1 any eq www
permit tcp host 128.32.1.1 any eq 443
deny any

!
ip access-list extended vlan_103_out
permit udp any host 172.10.1.4 eq domain
permit udp any host 172.10.1.5 eq domain
permit tcp any host 172.10.1.4 eq domain
permit tcp any host 172.10.1.5 eq domain
permit tcp any host 128.32.1.1 eq smtp
permit tcp any host 128.32.1.1 eq pop3
permit tcp any host 128.32.1.1 eq www
permit tcp any host 128.32.1.1 eq 443
deny any
!

А если сделать так?

172.10.254.3 255.255.255.0 -> 172.10.1.4 domain permit
172.10.254.3 255.255.255.0 -> 172.10.1.5 domain permit
172.10.254.0 /24 -> 172.10.1.7 smtp,pop3,http,https permit »

Думау все таки правильнее
172.10.254.0 255.255.255.0 -> 172.10.1.4 domain permit
172.10.254.0 255.255.255.0 -> 172.10.1.5 domain permit
172.10.254.0 /24 -> 172.10.1.7 smtp,pop3,http,https permit

И это все?
Остальной трафик запрещен?

kim-aa,
да запрещён....
попробовал вот эти правила - не проховал....


сделав вот такой набор правил - даже не смог получить адрес по дхцп с самой циски

!
ip access-list extended sdm_vlan103_in
remark SDM_ACL Category=1
permit tcp host 172.10.1.4 any eq domain
permit tcp host 172.10.1.5 any eq domain
permit tcp host 172.10.1.7 eq www any
permit udp host 172.10.1.5 any eq domain
permit udp host 172.10.1.4 any eq domain
ip access-list extended sdm_vlan103_out
remark SDM_ACL Category=1
permit tcp any host 172.10.1.4 eq domain
permit tcp any host 172.10.1.5 eq domain
permit tcp any host 172.10.1.7 eq www
permit udp any host 172.10.1.5 eq domain
permit udp any host 172.10.1.4 eq domain
!