[ rajco @ 29.07.2015. 13:41 ] @
Pozdrav svima,

Imam par tunela MT-Cisco 2811/2901 i želeo bih da onemogućim remote lokaciju da inicira saobraćaj ka "glavnoj" lokaciji, dok obratno treba da radi(nešto slično ovome za VLAN-ove). Pravila moraju biti samo na centralnom Cisco ruteru. Na MT ovo mogu da uradim sa allow established, dok new dozvoljavam samo iz jednog opsega. Da li je moguće ovo postići?
[ gogo82 @ 31.07.2015. 18:05 ] @
Ako sam dobro razumeo, tvoja mreža otprilike izgleda ovako

LAN (glavna lokacija) ------- CISCO ------- Internet ----------MT ------LAN (remote lokacija)

Podmreža na glavnoj lokaciji: 192.168.0.0/24
Podmreža na udaljenoj lokaciji: 172.16.0.0/24


Možeš pokušati da kreiraš access listu na LAN interfejsu Cisco rutera i to u OUT smjeru. Na primjer, ako je IP subnet udaljene stranet 172.16.0.0/24 a na ''glavnoj'' lokaciji 192.168.0.0/24, onda možeš kreirati access listu na cisco ruteru koja bi otprilike izgledala ovako:


Citat:

ip access-list extended acl_test
permit tcp any any established
deny ip 172.16.0.0 0.0.0.255 192.168.0.0 0.0.0.255
permit ip any any

Nakon toga primeniš tu access-listu na LAN interfejs Cisco rutera na glavnoj lokaciji i to u OUT smeru

na primer:

Citat:

interface f0/0
ip access-group acl_test OUT





[ rajco @ 07.08.2015. 15:00 ] @
Hvala na odgovoru gogo82. Nešto slično sam probao ali sam prevideo da sam imao pravila i na testnom MT koja nisu dozvoljavala saobraćaj.