|
|
 |
|
|
| 1. 6509上做vlan间acl 遇到的问题,急!! |
  |
|
 |
|
HP : 0 / 100
MP : 13 / 974
EXP : 2%
|
|
江湖小虾
成员等级: 5
发表总数: 39
金币总数: 83
所属组别: 普通成员
注册日期: 2005/09/17
|
我在配置vlan间的acl后,vlan中的机器不能自动获取ip地址(交换机做dhcp分配)
例如:6509上做dhcp分配,ip:10.0.0.1 255.255.255.0
各交换机管理ip:10.0.0.0 255.255.255.0
vlan 1:服务器网段,ip地址131.107.0.0 255.255.0.0
vlan 2:部门1网段,ip地址10.0.1.0 255.255.255.0
vlan 3:部门2网段,ip地址10.0.2.0 255.255.255.0
要求部门1和2不能互相访问,但又都能访问服务器网段.acl如下:
ip access-list extended vlan2
permit ip 131.107.0.0 0.0.255.255 10.0.1.0 0.0.0.255(允许服务器网段的包到达vlan2)
permit ip 10.0.1.0 0.0.0.255 131.107.0.0 0.0.255.255(允许vlan2的包到达服务器网段)
permit ip 10.0.0.0 0.0.0.255 10.0.1.0 0.0.0.255(允许交换机的包到达vlan2)
permit ip 10.0.1.0 0.0.0.255 10.0.0.0 0.0.0.255(允许vlan2中的包到达交换机)
#deny ip any 10.0.1.0 0.0.0.255 (vlan2和其他vlan不能通讯)
int vlan 2
ip access-list group vlan2 in(在vlan2中应用策略)
ip access-list extended vlan3
permit ip 131.107.0.0 0.0.255.255 10.0.2.0 0.0.0.255
permit ip 10.0.2.0 0.0.0.255 131.107.0.0 0.0.255.255
permit ip 10.0.0.0 0.0.0.255 10.0.2.0 0.0.0.255
permit ip 10.0.2.0 0.0.0.255 10.0.0.0 0.0.0.255
int vlan 3
ip access-list group vlan3 in
现在在vlan2和vlan3中的机器不能互访,但能访问服务器,即满足需求(需手动设置ip).vlan中的机器无法自动获取ip.
为什么不能自动获取ip地址呢,奇怪的是vlan2和vlan3中的机器(若手动设置ip的话)是可以ping/telnet 核心交换机的(在核心交换机上无法ping通vlan2中的机器),但是去掉ip,却不能从核心交换机上获取由dhcp分配的地址?
还需要做什么配置吗?acl这样写对不对?
|
|
|
|
| 2. Re:6509上做vlan间acl 遇到的问题,急!! |
|
|
 |
|
HP : 250 / 1254
MP : 1625 / 21993
EXP : 16%
|
|
迟则生变
成员等级: 51
发表总数: 4877
金币总数: 308
所属组别: 管理员
注册日期: 2003/01/9
|
允许udp 67、68
没有谁能像一座孤岛/在大海里独踞/每个人都像一块小小的泥土/连接成整个陆地/如果一块泥土被海水冲去/欧洲将缺其一隅/这如同一座山岬/也如同你的朋友和你自己/无论谁死了/都是自己的一部分在死去/因为我包含在人类这个概念里/因此我从不问丧钟为谁而鸣/它为我,也为你
No man is an Island, entire of itself; every man is a piece of the Continent, a part of the main; if a clod be washed away by the sea, Europe is the less, as well as if a promontory were, as well as if a man or of thy friends or of thine own were; any man's death diminishes me, because I am involved in Mankind; And therefore never send to know for whom the bell tolls; It tolls for thee.
|
|
|
|
| 3. Re:6509上做vlan间acl 遇到的问题,急!! |
|
|
|
|
|
HP : 0 / 100
MP : 13 / 974
EXP : 2%
|
|
江湖小虾
成员等级: 5
发表总数: 39
金币总数: 83
所属组别: 普通成员
注册日期: 2005/09/17
|
permit ip 10.0.0.0 0.0.0.255 10.0.1.0 0.0.0.255(允许交换机的包到达vlan2)
permit ip 10.0.1.0 0.0.0.255 10.0.0.0 0.0.0.255(允许vlan2中的包到达交换机)
这里的permit ip 中的ip不是指所有的ip数据包吗?包括tcp ,snmp ,udp 等等协议的数据包. |
|
|
|
| 4. Re:6509上做vlan间acl 遇到的问题,急!! |
|
|
|
|
|
HP : 250 / 1254
MP : 1625 / 21993
EXP : 16%
|
|
迟则生变
成员等级: 51
发表总数: 4877
金币总数: 308
所属组别: 管理员
注册日期: 2003/01/9
|
vlan 2地址为:10.0.1.0 255.255.255.0
你说得不太清楚,但我猜想6509在vlan2的端口interface vlan 2地址为10.0.1.?......如果6509没有配置interface vlan 2 那么应该在vlan 2的网关上配置ip helper-address 指向10.0.0.1。
vlan 2的pc和6509通讯数据包的目标地址是6509 interface vlan 2的地址10.0.1.?,而不在10.0.0.0 0.0.0.255之内。
permit ip 10.0.0.0 0.0.0.255 10.0.1.0 0.0.0.255在in的方向上没有用。
没有谁能像一座孤岛/在大海里独踞/每个人都像一块小小的泥土/连接成整个陆地/如果一块泥土被海水冲去/欧洲将缺其一隅/这如同一座山岬/也如同你的朋友和你自己/无论谁死了/都是自己的一部分在死去/因为我包含在人类这个概念里/因此我从不问丧钟为谁而鸣/它为我,也为你
No man is an Island, entire of itself; every man is a piece of the Continent, a part of the main; if a clod be washed away by the sea, Europe is the less, as well as if a promontory were, as well as if a man or of thy friends or of thine own were; any man's death diminishes me, because I am involved in Mankind; And therefore never send to know for whom the bell tolls; It tolls for thee.
|
|
|
|
| 5. Re:6509上做vlan间acl 遇到的问题,急!! |
|
|
|
|
|
HP : 0 / 100
MP : 13 / 974
EXP : 2%
|
|
江湖小虾
成员等级: 5
发表总数: 39
金币总数: 83
所属组别: 普通成员
注册日期: 2005/09/17
|
65上关于vlan2的配置:
ip dhcp pool vlan2
network 10.0.1.0 255.255.255.0
default-router 10.0.1.254
dns-server 131.107.7.1
netbios-name-server 131.107.7.1
lease 3
interface Vlan2
ip address 10.0.1.252 255.255.255.0
ip route-cache flow
standby 24 ip 10.0.1.254
standby 24 timers 5 10
standby 24 priority 150
standby 24 preempt
| QUOTE | | vlan 2的pc和6509通讯数据包的目标地址是6509 interface vlan 2的地址10.0.1.?,而不在10.0.0.0 0.0.0.255之内。 |
vlan2中的pc和6509能通讯能保证获取ip吗?那么acl是不是应该写成permit ip 10.0.1.0 0.0.0.255 10.0.1.0 0.0.0.255呢?
就在自动获取ip地址这块卡住了..
|
|
|
|
| 6. Re:6509上做vlan间acl 遇到的问题,急!! |
|
|
|
|
|
HP : 250 / 1254
MP : 1625 / 21993
EXP : 16%
|
|
迟则生变
成员等级: 51
发表总数: 4877
金币总数: 308
所属组别: 管理员
注册日期: 2003/01/9
|
Just try.
没有谁能像一座孤岛/在大海里独踞/每个人都像一块小小的泥土/连接成整个陆地/如果一块泥土被海水冲去/欧洲将缺其一隅/这如同一座山岬/也如同你的朋友和你自己/无论谁死了/都是自己的一部分在死去/因为我包含在人类这个概念里/因此我从不问丧钟为谁而鸣/它为我,也为你
No man is an Island, entire of itself; every man is a piece of the Continent, a part of the main; if a clod be washed away by the sea, Europe is the less, as well as if a promontory were, as well as if a man or of thy friends or of thine own were; any man's death diminishes me, because I am involved in Mankind; And therefore never send to know for whom the bell tolls; It tolls for thee.
|
|
|
|
| 7. Re:6509上做vlan间acl 遇到的问题,急!! |
|
|
|
|
|
HP : 0 / 100
MP : 13 / 974
EXP : 2%
|
|
江湖小虾
成员等级: 5
发表总数: 39
金币总数: 83
所属组别: 普通成员
注册日期: 2005/09/17
|
try 了一次,不行.
如果vlan2中的机器需要ping/telnet 6509 (10.0.0.1)上,例如ping 10.0.0.1 ,telnet 10.0.0.1
我觉得,目标地址应该是10.0.0.0 0.0.0.255才对啊.?
.....想不通
怎么能获得ip地址,麦子大哥能给点提示吗/ |
|
|
|
| 8. Re:6509上做vlan间acl 遇到的问题,急!! |
|
|
 |
|
HP : 0 / 202
MP : 34 / 3395
EXP : 10%
|
|
江湖异人
成员等级: 9
发表总数: 102
金币总数: 297
所属组别: 普通成员
注册日期: 2003/04/15
|
VLAN 上的ACL做的思路太乱了。 |
|
|
|
| 9. Re:6509上做vlan间acl 遇到的问题,急!! |
|
|
|
|
|
HP : 0 / 100
MP : 13 / 974
EXP : 2%
|
|
江湖小虾
成员等级: 5
发表总数: 39
金币总数: 83
所属组别: 普通成员
注册日期: 2005/09/17
|
参考论坛上有关acl配置的帖子,
重写了一下acl,基本能实现所需要的功能.
1.不同vlan 之间不能访问,本vlan内能互访
2.各vlan中主机均能访问服务器网段131.107.0.0 255.255.0.0(代理服务器所在网段)
3.各vlan中主机能自动获取ip
ip access-list extended vlan25
permit udp any any eq bootpc
permit udp any eq bootpc any
permit ip 131.107.0.0 0.0.255.255 10.0.24.0 0.0.0.255
permit ip 10.0.24.0 0.0.0.255 131.107.0.0 0.0.255.255
permit ip 10.0.0.0 0.0.0.255 10.0.24.0 0.0.0.255
permit ip 10.0.24.0 0.0.0.255 10.0.0.0 0.0.0.255
permit ip 10.0.24.0 0.0.0.255 10.0.24.0 0.0.0.255
!
int vlan5
ip access-list group vlan5 in
但是出现了新的问题,在各vlan中的机器若不使用代理服务器,则无法访问互连网.
(在ns204设置指定ip访问互连网,因此公司中有部门机器不使用代理服务器上网)
公司网络结构:6509---->ns204--->cisco2611xm---->internet |
|
|
|
| 10. Re:6509上做vlan间acl 遇到的问题,急!! |
|
|
|
|
|
HP : 0 / 202
MP : 34 / 3395
EXP : 10%
|
|
江湖异人
成员等级: 9
发表总数: 102
金币总数: 297
所属组别: 普通成员
注册日期: 2003/04/15
|
还是有多余的句子,你show access-list 看看match情况。
你是用在进入到VLAN 的报文匹配上,有些永远不可能发生的写上干吗,还增加系统的负荷,多做一次匹配检查。
|
|
|
|
| 11. Re:6509上做vlan间acl 遇到的问题,急!! |
|
|
|
|
|
HP : 0 / 100
MP : 13 / 974
EXP : 2%
|
|
江湖小虾
成员等级: 5
发表总数: 39
金币总数: 83
所属组别: 普通成员
注册日期: 2005/09/17
|
sh access-list 的结果:
Extended IP access list vlan25
10 permit udp any any eq bootpc
20 permit udp any eq bootpc any (13 matches)
30 permit ip 131.107.0.0 0.0.255.255 10.0.24.0 0.0.0.255
40 permit ip 10.0.24.0 0.0.0.255 131.107.0.0 0.0.255.255 (35 matches)
50 permit ip 10.0.0.0 0.0.0.255 10.0.24.0 0.0.0.255
60 permit ip 10.0.24.0 0.0.0.255 10.0.0.0 0.0.0.255 (5649 matches)
70 permit ip 10.0.24.0 0.0.0.255 10.0.24.0 0.0.0.255 (574 matches)
其中黑体部分在in的方向上不起作用. |
|
|
|
| 12. Re:6509上做vlan间acl 遇到的问题,急!! |
|
|
 |
|
HP : 0 / 34
MP : 4 / 278
EXP : 38%
|
|
初涉江湖
成员等级: 2
发表总数: 13
金币总数: 25
所属组别: 普通成员
注册日期: 2006/04/8
|
继续呀!
也许可能大概是
然而未必不见得 |
|
|
|
| 13. Re:6509上做vlan间acl 遇到的问题,急!! |
|
|
 |
|
HP : 0 / 8
MP : 1 / 64
EXP : 34%
|
|
新手上路
成员等级: 1
发表总数: 5
金币总数: 17
所属组别: 普通成员
注册日期: 2006/06/13
|
go on |
|
|
|
| 14. Re:6509上做vlan间acl 遇到的问题,急!! |
|
|
|
|
|
HP : 0 / 436
MP : 130 / 7628
EXP : 44%
|
|
名动江湖
成员等级: 18
发表总数: 392
金币总数: 894
所属组别: 中级成员
注册日期: 2003/01/14
|
6509假如是SUP720,应该有VACL,专门有一个命令,过滤VLAN间访问的 |
|
|
|
| 15. Re:6509上做vlan间acl 遇到的问题,急!! |
|
|
|
|
|
HP : 0 / 75
MP : 9 / 574
EXP : 3%
|
|
江湖游客
成员等级: 4
发表总数: 28
金币总数: 37
所属组别: 普通成员
注册日期: 2006/06/6
|
 |
|
|
|
| 16. Re:6509上做vlan间acl 遇到的问题,急!! |
|
|
|
|
|
HP : 0 / 85
MP : 10 / 1258
EXP : 40%
|
|
江湖游客
成员等级: 4
发表总数: 32
金币总数: 46
所属组别: 普通成员
注册日期: 2003/12/22
|
学习一下!!! |
|
|
|
| 17. Re:6509上做vlan间acl 遇到的问题,急!! |
|
|
|
|
|
HP : 0 / 8
MP : 1 / 118
EXP : 34%
|
|
新手上路
成员等级: 1
发表总数: 5
金币总数: 15
所属组别: 普通成员
注册日期: 2004/04/16
|
既然是dhcp relay 获取地址的,那么是不是相应的acl中得加上
permit ip host 0.0.0.0 any 这条吧!
上帝给我一双黑色的眼睛,我要用这黑色的眼睛去寻找光明! |
|
|
|
| 18. Re:6509上做vlan间acl 遇到的问题,急!! |
|
|
|
|
|
HP : 0 / 70
MP : 8 / 513
EXP : 83%
|
|
初涉江湖
成员等级: 3
发表总数: 26
金币总数: 36
所属组别: 普通成员
注册日期: 2006/07/17
|
