Accessliste für das Vlan Interface

[Berndra 10]

Hallo zusammen

 

Ich habe ein kleines problem mit einer accessliste für ein Vlan.

 

Ich habe 14 Vlans konfiguriert und möchte jetzt vom vlan 2 (uservlan) 3 IP-adressen erlauben ins vlan 6 zu kommen.

 

ich habe 3 3550 switches mit intervlan routing aktiviert. Das Routing, vtp, spanningtree funktioniert einwandfrei, nur die asl bereitet mir kopfzerbrechen.

 

Theoretisch sollte (probiere es mit 1 ip im moment)

 

accesslist 101 permit ip host 10.14.1.1 any

 

und auf dem VLAN6

 

ip access-group 101 in

 

reichen. deny ip any any wird ja automatisch hinzugefügt

Kann mir jemand dabei helfen, denke dass ich irgendwo einen denkfehler habe

 

gruss Bernd

[tom12 10]

Hi,

 

Access-list erstellen und an Vlan Interface binden sollte eigentlich reichen...

 

Versuch mal:

 

access-list 101 permit ip host <erlaubte ip> any log

access-list 101 deny ip any any log

 

...

um zu sehen ob die ACL "greift".

 

 

und ev. ein #debug ip packet 101

 

 

oder kannst du deine config posten?

 

Grüsse

[Berndra 10]

Hab mitlerweile das problem gelöst. Hatte einen falschen denkansatz.

Hier noch die konfig

 

ip access-list extended management-in

permit ip 10.14.44.0 0.0.1.255 host 10.14.44.x

permit ip 10.14.44.0 0.0.1.255 host 10.14.44.254

permit ip 10.14.44.0 0.0.1.255 host 10.14.1.x

permit udp host 10.14.44.x host 224.0.0.2 eq 1985

 

ip access-list extended management-out

permit ip host 10.14.44.x 10.14.44.0 0.0.1.255

permit ip host 10.14.44.254 10.14.44.0 0.0.1.255

permit ip host 10.14.1.x 10.14.44.0 0.0.1.255

permit udp host 10.14.44.x host 224.0.0.2 eq 1985