Ситуация проста как два пальца.
Есть две подсети:
Главная сеть 192.168.0.0 /24
Сеть филиала 192.168.1.0 /24 (подключается через vpn подключение)
Банальный access list :
ip access-list extended LIST
deny tcp any 192.168.0.0 0.0.0.255 eq 135
deny tcp any 192.168.0.0 0.0.0.255 eq 445
deny udp any 192.168.0.0 0.0.0.255 eq 445
permit ip any any
который применяется к каждому порту на свитче с2960 (ip access-group LIST in)
Если внимательно посмотреть на правила аксеслиста, то можно заметить что они применимы только для подсети 192.168.0.0 /24 Рисовать еще 3 таких же правила для 192.168.1.0 /24 - не хочу. Это банально некрасиво.
В моем внутреннем мире две подсети 192.168.0.0 /24 и 192.168.1.0 /24 можно легко представить в виде одной подсети 192.168.0.0 /23
тогда аксесслист должен быть таким
ip access-list extended LIST
deny tcp any 192.168.0.0 0.0.1.255 eq 135
deny tcp any 192.168.0.0 0.0.1.255 eq 445
deny udp any 192.168.0.0 0.0.1.255 eq 445
permit ip any any
Но второй лист работает точно так же как и первый.
Он не хочет блокировать пакеты которые отправляются в сеть 192.168.1.0 /24
ЧЯДНТ ?