Настройка Cisco SG300-52
 

Всем доброго времени суток.
Недавно только начал администрировать сеть на предприятии. И сразу доверили "разобраться с циской". Купили Cisco SG300-52 это small buisness которая.
Вся сеть состоит из нескольких vlan: для пользователей, для сервером и т.п.
Для начала переключил его в режим L3. Создал vlan. Назначил им интерфейсы.
есть три vlan: vlan1(192.168.1.1\24), vlan2(192.168.10.1\24), vlan3(10.3.0.1\24).
Порты mode access. Соответственно Gi1 - vlan1, Gi2 - vlan2, Gi3 - vlan3. К ним подключены обычные ПК.
На ПК прописал IP и шлюз, какой в данной vlan работает.
Теперь не могу понять - все они находятся в разных сетях - но доступны. Т.е пингуются ПК из любой vlan в любую. А мне необходимо, чтобы этого не было.
Решил это с помощью ACL. Но верное ли это решение? Ведь по идеи если на порту например vlan2 - forbidden - то и траффик в неё с тэгом2 не должен проходить.
Сорри за немножко путанное описание)))

а теперь сделайте трассировку и увидите, что разруливает это шлюз ;)
соот-но ACL там и нужно рисовать.

А разве по умолчанию доступные связи между vlan? Я думал, что на каждом порту необходимо указывать траффик c какого vlan ему пропускать. А ACL уже для более тонкой настройки внутри vlan и между. Вопрос как сделать это без ACL

вы трассировку сделали?

сделал. но на traceroute ничего не видно. Схема то простая ПК->Роутер. Он видимо по умолчанию маршрутизирует пакеты между заведёнными интерфейсами у себя. Или может как то по особенному трассировка делается? С компа tracert показывает первый хоп свой шлюз, второй - IP другого компа в другой vlan.

всё верно, прохождением траффика между сетями занимается шлюз. теперь вы это поняли.
дальше вам следует нарисовать ACL на этом шлюзе, если нужно заблокировать доступ между вланами.

А без ACL можно сделать? Т.е выставлением разрешений на порту для vlan?

а причём тут это то? :)

Хм. Я думал так делается)