Hi all,

Mình có chính sách cho Vlan như sau: Tất cả các Vlan đều ko nhìn thấy nhau, chỉ được thấy VLan 2 và 3 là Vlan admin và Vlan Server thôi.

Mình hỏi là với chính sách như vậy thì nên dùng Vlan ACL hay dùng ACL bình thường thôi. Mình dùng ACL thường thì thấy kì kì. Hic

Mọi người góp ý cho mình với

Thanks,

Mình thấy dùng Vlan ACL hơi khó troubleshoot nên làm ACL thường. Mình cấu hình thế này

access-list 110 permit ip 192.168.10.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 110 permit ip 192.168.10.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 110 deny ip 192.168.10.0 0.0.0.255 192.168.0.0 0.0.255.255
access-list 110 permit ip any any
!
int vlan 10
ip access-group 110 in

Làm vậy mình PING trong cùng Vlan 10 ko đc, phải thêm 1 câu permit chính nó access-list 110 permit ip 192.168.10.0 0.0.0.255 192.168.10.0 0.0.0.255 phía trên nữa thì mới đc?

Sao lại có vụ này ta?

acc-list sẽ xét từ trên xuống, nếu match dòng nào, sẽ ko xét tiếp, ko match sẽ lần lượt xét xuống, và dòng cuối cùng hiểu là deny any any. như vậy , bạn ko ping được trong cùng vlan 10 là do dòng acc-list thứ 3:

access-list 110 deny ip 192.168.10.0 0.0.0.255 192.168.0.0 0.0.255.255
Bạn đã deny mạng 10 đi đến mạng có 2 octet đầu là 192.168. và mạng 10 cũng ko ngoại lệ.
Nên khi bạn cấu hình thêm dòng này ở trên cùng thì ping được. vì đã match permit mạng 10 , nên ko xét tiếp xuống dưới.

access-list 110 permit ip 192.168.10.0 0.0.0.255 192.168.10.0 0.0.0.255