Wij beheren hier een Cisco 3750 switch welke we in enkele VLANs hebben opgesplitst. Hierbij maken wij op de verschillende VLANs gebruik van ACLs om verkeer te reguleren. De VLAN IDs hebben bij ons altijd < 30 gezeten. Dit werkt allemaal naar behoren.
Sinds kort hebben wij van een van de VLANs het ID moeten aanpassen; dit in verband met het ID dat op een andere switch wordt gebruikt waarop dit specifieke VLAN is aangesloten. Aangezien het nieuwe VLAN ID aangepast moest worden naar 1300, hebben we handmatig in de VLAN DB het VLAN 1300 aan moeten maken. Op zich natuurlijk geen probleem.
Voor communicatie binnen het VLAN werkt dit ook allemaal zonder problemen. Gek genoeg bemerken wij nu alleen dat de ACL niet meer lijkt te werken. Mijn vermoeden is dat dit te maken heeft met het feit dat dit VLAN ID boven de (uit mijn hoofd) 1-64 zit; maar kan hier eigenlijk niets over terugvinden bij Cisco.
Onderstaand het stukje config zoals het nu is; voorheen werkte dit dus wel met Vlan11;
interface Vlan1300
description VLAN - <OMSCHRIJVING>
ip address xx.xxx.x.97 255.255.255.240
ip access-group 111 out
!
access-list 111 remark <OMSCHRIJVING> (SMTP, ICMP, rDNS, NTP, HTTPS)
access-list 111 permit tcp any any established
access-list 111 permit tcp any any eq smtp
access-list 111 permit tcp any any eq 443
Bekend dit dat ik voor dit VLAN misschien via een VACL moet gaan werken? Dat zou (performance wise) jammer zijn.
Sinds kort hebben wij van een van de VLANs het ID moeten aanpassen; dit in verband met het ID dat op een andere switch wordt gebruikt waarop dit specifieke VLAN is aangesloten. Aangezien het nieuwe VLAN ID aangepast moest worden naar 1300, hebben we handmatig in de VLAN DB het VLAN 1300 aan moeten maken. Op zich natuurlijk geen probleem.
Voor communicatie binnen het VLAN werkt dit ook allemaal zonder problemen. Gek genoeg bemerken wij nu alleen dat de ACL niet meer lijkt te werken. Mijn vermoeden is dat dit te maken heeft met het feit dat dit VLAN ID boven de (uit mijn hoofd) 1-64 zit; maar kan hier eigenlijk niets over terugvinden bij Cisco.
Onderstaand het stukje config zoals het nu is; voorheen werkte dit dus wel met Vlan11;
interface Vlan1300
description VLAN - <OMSCHRIJVING>
ip address xx.xxx.x.97 255.255.255.240
ip access-group 111 out
!
access-list 111 remark <OMSCHRIJVING> (SMTP, ICMP, rDNS, NTP, HTTPS)
access-list 111 permit tcp any any established
access-list 111 permit tcp any any eq smtp
access-list 111 permit tcp any any eq 443
Bekend dit dat ik voor dit VLAN misschien via een VACL moet gaan werken? Dat zou (performance wise) jammer zijn.
:strip_exif()/u/216514/sgisurf.gif?f=community)
/u/13471/karnemelk.png?f=community)
:strip_icc():strip_exif()/u/170724/i.jpg?f=community)
:strip_icc():strip_exif()/u/264022/sharks_60x60.jpg?f=community)
