stereoPANDA спасибо за ссылку, не получается думаю мозг скоро лопнет )))
вот конфиги может по нему кто нить сможет помочь interface Vlan100
description User_VLAN
ip address 10.100.3.2 255.255.255.0
ip access-group INTERNET in
ip helper-address 10.100.90.30
standby 2 ip 10.100.3.1
standby 2 timers msec 200 msec 750
standby 2 priority 109
standby 2 preempt
standby 2 authentication GSS_pass
!
ip access-list extended INTERNET
permit ip host 10.100.10.101 any
permit ip host 10.100.10.102 any
permit tcp 10.100.3.0 0.0.0.255 10.100.0.0 0.0.255.255 eq ftp
permit tcp 10.100.3.0 0.0.0.255 10.100.0.0 0.0.255.255 eq ftp-data
permit tcp 10.100.3.0 0.0.0.255 10.100.0.0 0.0.255.255 eq www
permit tcp 10.100.3.0 0.0.0.255 10.200.100.0 0.0.0.255 eq www
permit tcp 10.100.3.0 0.0.0.255 10.120.100.0 0.0.0.255 eq www
deny tcp any any eq www
deny tcp any any eq ftp
deny tcp any any eq ftp-data
permit ip any any
router ospf 100
router-id 10.100.100.1
log-adjacency-changes
nsf
passive-interface default
no passive-interface Vlan500
no passive-interface Vlan600
no passive-interface Vlan700
no passive-interface Vlan800
no passive-interface GigabitEthernet5/1
no passive-interface GigabitEthernet6/2
network 10.100.2.0 0.0.0.255 area 0.0.0.0
network 10.100.3.0 0.0.0.255 area 0.0.0.0
вот таким же способом у меня подняты другие подсети VLAN-ом, раньше не стоял вопрос чтоб сети не ходили друг к другу, ща вот поставили вопрос чтоб разграничить сеть между собой, хосты 10.100.10.101 и 102 это те хости которым дано доступ в мир список длинный, но это сокращено. В OSPF список длинный, может есть возможность при помощи OSPF разграничить??? ну мне без ризницы главное чтоб разграничить, но чтоб все хосты могли ходить к серверам с адресами 10.100.20.20/32 10.100.19.19/32