Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Access-list giữa các Vlan.

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Access-list giữa các Vlan.

    Chào các Pro,

    Mình có các Vlan như sau: VLan122, Vlan123, Vlan126, Vlan127(10.10.127.x) trong đó chỉ có mỗi Vlan127 là mình tạo ACLs và apply vào interface của Vlan127 với access-group là "in".

    Hiện tại do Vlan127 mình đã dùng hết các địa chỉ IP(subnetmask /24), bây giờ mình muốn mở rộng thêm IP cho Vlan này bằng cách là mình tạo thêm 1 vlan là Vlan128(10.10.128.x) và apply ACL của Vlan127 vào interface của Vlan128, nó như sau:

    interface Vlan127
    ip address 10.10.127.2 255.255.255.0
    ip access-group INTERNAL_DENY_ACL in
    standby 127 ip 10.10.127.1
    !
    interface Vlan128
    ip address 10.10.128.2 255.255.255.0
    ip access-group INTERNAL_DENY_ACL in
    standby 128 ip 10.10.128.1

    Mục đích việc tạo Vlan128 của mình là làm sao những máy ở Vlan128 và Vlan127 đều thông nhau như trong cùng 1 mạng.
    Nhưng sau khi tạo Vlan thì chỉ có ping và tracert giữa các máy ở VLan127 và Vlan128 là được, còn remote desktop hay các file share giữa 2 vlan này... là không dùng được.
    Dưới đây là các ACL mà mình đang dùng:

    Extended IP access list INTERNAL_DENY_ACL
    10 permit icmp any any
    14 permit ip 10.10.127.0 0.0.0.255 10.10.128.0 0.0.0.255
    16 permit ip 10.10.128.0 0.0.0.255 10.10.127.0 0.0.0.255

    20 permit tcp any eq telnet any
    30 permit ip host 10.10.127.11 any
    40 permit ip host 10.10.127.4 any
    50 permit ip host 10.10.127.5 any
    60 permit ip host 10.10.127.6 any
    70 permit ip host 10.10.127.7 any
    80 permit ip host 10.10.127.8 any
    90 permit ip host 10.10.127.9 any
    100 permit ip host 10.10.127.10 any
    110 permit ip host 10.10.127.241 any
    120 permit ip host 10.10.127.242 any
    130 permit tcp host 10.10.127.11 eq www any
    140 permit tcp host 10.10.127.34 eq 3389 any
    150 permit tcp host 10.10.127.32 eq 3389 any
    160 permit tcp host 10.10.127.33 eq 3389 any
    170 permit tcp host 10.10.127.35 eq 3389 any
    180 permit tcp host 10.10.127.36 eq 3389 any
    190 permit tcp host 10.10.127.48 eq 3389 any
    400 permit tcp host 10.10.127.54 eq 3389 any
    410 permit tcp host 10.10.127.37 eq 3389 any
    420 permit tcp host 10.10.127.38 eq 3389 any
    430 permit tcp host 10.10.127.39 eq 3389 any
    440 permit tcp host 10.10.127.40 eq 3389 any
    450 permit tcp host 10.10.127.41 eq 3389 any
    470 permit tcp host 10.10.127.63 eq 3389 any
    490 permit tcp host 10.10.127.52 eq 3389 any
    530 permit tcp host 10.10.127.42 eq 3389 any
    540 permit tcp host 10.10.127.73 eq 3389 any
    550 permit tcp host 10.10.127.51 eq 3389 any
    560 permit tcp host 10.10.127.43 eq 3389 any
    570 permit tcp host 10.10.127.53 eq 3389 any
    580 permit tcp host 10.10.127.55 eq 3389 any
    590 permit tcp host 10.10.127.56 eq 3389 any
    600 permit tcp host 10.10.127.57 eq 3389 any
    610 permit tcp host 10.10.127.58 eq 3389 any
    620 permit tcp host 10.10.127.59 eq 3389 any
    630 permit tcp host 10.10.127.60 eq 3389 any
    640 permit tcp host 10.10.127.62 eq 3389 any
    650 permit tcp host 10.10.127.49 eq 3389 any
    660 permit tcp host 10.10.127.61 eq 3389 any
    670 permit tcp host 10.10.127.66 eq 3389 any
    680 permit tcp host 10.10.127.67 eq 3389 any
    690 permit tcp host 10.10.127.79 eq 3389 any
    699 permit tcp host 10.10.127.87 eq 3389 any
    700 permit tcp host 10.10.127.111 eq 3389 any
    710 permit tcp host 10.10.127.112 eq 3389 any
    720 permit tcp host 10.10.127.113 eq 3389 any
    730 permit tcp host 10.10.127.114 eq 3389 any
    740 permit tcp host 10.10.127.115 eq 3389 any
    750 permit tcp host 10.10.127.131 eq 3389 any
    760 permit tcp host 10.10.127.139 eq 3389 any
    770 permit tcp host 10.10.127.154 eq 3389 any
    780 permit tcp host 10.10.127.89 eq 3389 any
    781 permit tcp host 10.10.127.183 eq 3389 any
    782 permit tcp host 10.10.127.191 eq 3389 any
    783 permit tcp host 10.10.127.192 eq 3389 any
    784 permit tcp host 10.10.127.195 eq 3389 any
    785 permit tcp host 10.10.127.196 eq 3389 any
    786 permit tcp host 10.10.127.197 eq 3389 any
    787 permit tcp host 10.10.127.199 eq 3389 any
    820 permit tcp host 10.10.127.50 eq 3389 any
    850 permit tcp any host 10.10.122.24 eq www
    860 permit tcp any host 10.10.122.18 eq 8000
    870 permit tcp host 10.10.127.31 eq 3389 any
    880 permit tcp host 10.10.127.11 eq 3389 any
    890 permit tcp host 10.10.127.20 eq 3389 any
    900 permit tcp any host 10.10.127.20 eq www
    910 permit tcp host 10.10.127.20 eq www any
    920 permit tcp host 10.10.127.21 eq www any
    930 permit tcp host 10.10.127.21 eq 1433 any
    940 permit tcp host 10.10.127.22 eq 3389 any
    950 permit tcp host 10.10.127.22 eq 1433 any
    960 permit tcp host 10.10.127.23 eq 3389 any
    970 permit tcp host 10.10.127.23 eq 1433 any
    980 permit tcp host 10.10.127.24 eq 3389 any
    990 permit tcp host 10.10.127.24 eq 1433 any
    1000 permit tcp host 10.10.127.11 eq 1433 any
    1010 permit tcp host 10.10.127.12 eq 1433 any
    1340 deny ip any 10.10.122.0 0.0.0.255
    1350 deny ip any 10.10.123.0 0.0.0.255
    1360 deny ip any 10.10.124.0 0.0.0.255
    1370 deny ip any 10.10.125.0 0.0.0.255
    1380 deny ip any 10.10.10.0 0.0.0.255
    1390 deny ip any 10.0.0.0 0.255.255.255
    1400 permit ip any any


    Mặc dù mình mới thêm vào ACL số 14 và 16 nhưng vẫn không thành công.
    Xin các Pro chỉ giáo làm thế nào để thông giữa 2 vlan127, vlan128 như trong cùng 1 mạng.
    Xin cảm ơn và hậu tạ sau .
    Last edited by trungmv; 17-04-2015, 03:06 PM. Reason: them vlan

  • #2
    Trung

    Anh chưa xem kỹ cái ACL của em nhưng anh thấy trong interface vlan có cấu hình HSRP. Em kiểm tra lại xem có nên đặt thêm ACL trên active HSRP interface còn lại không. Interface vlan đang ở standby thì traffic đi qua gateway còn lại.

    Cám ơn Trung,
    Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

    Email : dangquangminh@vnpro.org
    https://www.facebook.com/groups/vietprofessional/

    Comment


    • #3
      Chào anh Minh,

      Cảm ơn anh đã phản hồi.

      Thực ra thì 2 interface của 2 Vlan127,Vlan128 trên 2 con Core switch em đặt như sau:

      Core switch1:
      interface Vlan127
      ip address 10.10.127.2 255.255.255.0
      ip access-group INTERNAL_DENY_ACL in
      standby 127 ip 10.10.127.1
      standby 127 priority 105
      standby 127 preempt
      !
      interface Vlan128
      ip address 10.126.128.2 255.255.255.0
      ip access-group INTERNAL_DENY_ACL in
      standby 128 ip 10.10.128.1
      standby 128 priority 105
      standby 128 preempt


      Core switch2:
      interface Vlan127
      ip address 10.10.127.3 255.255.255.0
      ip access-group INTERNAL_DENY_ACL in
      standby 127 ip 10.10.127.1
      standby 127 preempt
      !
      interface Vlan128
      ip address 10.10.128.3 255.255.255.0
      ip access-group INTERNAL_DENY_ACL in
      standby 128 ip 10.10.128.1
      standby 128 preempt

      Rất mong anh giúp đỡ cho trường hợp này.

      Trân trọng,

      Comment


      • #4
        1/ Nếu trong cùng VLAN thì em có thể RDP hay share file giữa các máy không?
        2/ Bật thêm option log ở cuối ACL 14 và 16 xem nó có match rdp traffic giữa các vlan không?

        Extended IP access list INTERNAL_DENY_ACL
        10 permit icmp any any
        14 permit ip 10.10.127.0 0.0.0.255 10.10.128.0 0.0.0.255 log
        16 permit ip 10.10.128.0 0.0.0.255 10.10.127.0 0.0.0.255 log

        sau đó show log để kiểm tra xem có gói nào match không?

        3/ Nếu gỡ bỏ, không áp dụng ACL thì có RDP giữa các VLAN được không?

        interface Vlan127
        no ip access-group INTERNAL_DENY_ACL in

        Thử lại và báo kết quả nha.
        Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

        Email : dangquangminh@vnpro.org
        https://www.facebook.com/groups/vietprofessional/

        Comment


        • #5
          Chào anh Minh,

          1/ Trong cùng một VLAN em vẫn RDP và file sharing được.
          2/ Em đã bật option log ở cuối ACL14 và 16 và thấy đã matched được packet.
          3/ Nếu gỡ bỏ, không áp dụng access-list thì vẫn RDP và file sharing được bình thường ạ.

          Liệu có yếu tố nào khác còn ảnh hưởng đến Vlan nữa không anh?

          Regards,

          Comment


          • #6
            em để thêm 1 dòng ACL theo chiều out nha.

            interface Vlan127
            ip address 10.10.127.2 255.255.255.0
            ip access-group INTERNAL_DENY_ACL in
            standby 127 ip 10.10.127.1
            !
            interface Vlan128
            ip address 10.10.128.2 255.255.255.0
            ip access-group INTERNAL_DENY_ACL in
            ip access-group INTERNAL_DENY_ACL out
            standby 128 ip 10.10.128.1
            Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

            Email : dangquangminh@vnpro.org
            https://www.facebook.com/groups/vietprofessional/

            Comment


            • #7
              Hi anh Minh,

              Em chưa thử phương pháp của anh, nhưng em nghĩ chắc là sẽ ổn thôi.
              Phương pháp của em là permit thêm ACLs cho DNS server và Vlan127 này --> sharing file giữa các Vlan sẻ thỏa mãn yêu cầu.
              Cảm ơn anh.

              Trân trọng,

              Comment

              Working...
              X