ACL-Cisco коммутатор уровня 3

Вопрос или проблема

Ответ или решение

Настройка ACL на маршрутизаторе MikroTik и коммутаторе Cisco 3750 Layer 3

Ваша задача заключается в настройке контроля доступа (ACL) на уровне Layer 3 с использованием коммутатора Cisco 3750 для управления доступом пользователей к определённым IP-адресам в сети и для организации выхода в интернет через маршрутизатор MikroTik 1100. Давайте подробно рассмотрим шаги, которые помогут вам обеспечить корректную работу ACL и соединение пользователей с интернетом.

1. Понимание архитектуры сети

Перед началом настройки ACL важно понять архитектуру вашей сети. У вас есть:

• МикроTik 1100: используется для выхода в интернет.
• Коммутатор Cisco 3750: используется как коммутатор уровня 2 для управления VLAN и распределения трафика.
• Пользователи в различных VLAN: для которых вы хотите ограничить доступ на основании IP-адресов.

2. Настройка VLAN на Cisco 3750

Убедитесь, что ваши VLAN настроены корректно. Пример настройки VLAN:

Switch# configure terminal
Switch(config)# vlan 10
Switch(config-vlan)# name Пользователи_VLAN10
Switch(config-vlan)# exit
Switch(config)# vlan 20
Switch(config-vlan)# name Пользователи_VLAN20
Switch(config-vlan)# exit

Каждый VLAN должен быть привязан к соответствующему интерфейсу:

Switch(config)# interface FastEthernet0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10
Switch(config-if)# exit

3. Настройка базовой маршрутизации на Cisco 3750

Чтобы обеспечить возможность маршрутизации между VLAN, необходимо активировать маршрутизацию на коммутаторе:

Switch(config)# ip routing

После этого настройте виртуальные интерфейсы для каждого VLAN. Пример настройки интерфейса для VLAN 10:

Switch(config)# interface Vlan10
Switch(config-if)# ip address 192.168.10.1 255.255.255.0
Switch(config-if)# no shutdown
Switch(config-if)# exit

И для VLAN 20:

Switch(config)# interface Vlan20
Switch(config-if)# ip address 192.168.20.1 255.255.255.0
Switch(config-if)# no shutdown
Switch(config-if)# exit

4. Конфигурирование ACL на Cisco 3750

Теперь вы можете настроить списки контроля доступа, чтобы ограничить доступ пользователей. Пример ACL, который ограничивает доступ к определённому IP-адресу:

Switch(config)# access-list 100 deny ip 192.168.10.20 0.0.0.0
Switch(config)# access-list 100 permit ip any any

Чтобы применить этот ACL к интерфейсу VLAN:

Switch(config)# interface Vlan10
Switch(config-if)# ip access-group 100 in
Switch(config-if)# exit

5. Настройка NAT на маршрутизаторе MikroTik

Не забудьте настроить маршрутизатор MikroTik для доступа в интернет. Вам необходимо настроить NAT:

/ip firewall nat
add chain=srcnat action=masquerade out-interface=<Интерфейс_внешней_сети>

6. Проверка конфигурации

После выполнения всех настроек, проверьте корректность работы следующими командами:

• На Cisco 3750 для проверки ACL:

  Switch# show access-lists

• На MikroTik:

  /ip firewall connection print

Заключение

Предложенная схема предоставляет четкую структуру для настройки ACL на коммутаторе Cisco 3750. Убедитесь, что все команды выполнены без ошибок и контролируйте трафик на уровне Layer 3, чтобы достичь задуманных целей. Если по каким-то причинам проблем с соединением не удастся устранить, полезно обратиться к логам на обоих устройствах для выявления возможных ошибок.