URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 1925
[ Назад ]

Исходное сообщение
"ACL inout проблема"
Отправлено Otherkot , 26-Фев-16 09:44

Cisco 2960
К interface gi0/7 подключен сервер,доступ к нему должен осуществляться только через это правило, на вход и на выход.
прописываю правило
ip access-list extended buh(имя правила)
permit tcp any any eq 80 443......
permit udp any any eq 500 1434......
R(config-if) #
ip access group buh IN - работает
прописываю тоже правило но на выход
ip access group buh OUT - пишет ошибку...
Как я понимаю нужно включить SVI на интерфейсе Gi0/7 чтобы мою правило работало таким образом
R(config-if)#ip access-group buh out

Содержание

ACL inout проблема,Del, 10:06 , 26-Фев-16
- ACL inout проблема,Otherkot, 11:01 , 26-Фев-16
ACL inout проблема,Andrey, 21:19 , 26-Фев-16
- ACL inout проблема,Otherkot, 08:57 , 29-Фев-16
  - ACL inout проблема,Andrey, 09:46 , 29-Фев-16

Сообщения в этом обсуждении

"ACL inout проблема"
Отправлено Del , 26-Фев-16 10:06

>[оверквотинг удален]
> ip access-list extended buh(имя правила)
> permit tcp any any eq 80 443......
> permit udp any any eq 500 1434......
> R(config-if) #
> ip access group buh IN - работает
> прописываю тоже правило но на выход
> ip access group buh OUT - пишет ошибку...
> Как я понимаю нужно включить SVI на интерфейсе Gi0/7 чтобы мою правило
> работало таким образом
> R(config-if)#ip access-group buh out
А порт как настроен? Какую ошибку пишет?

"ACL inout проблема"
Отправлено Otherkot , 26-Фев-16 11:01

>[оверквотинг удален]
>> permit tcp any any eq 80 443......
>> permit udp any any eq 500 1434......
>> R(config-if) #
>> ip access group buh IN - работает
>> прописываю тоже правило но на выход
>> ip access group buh OUT - пишет ошибку...
>> Как я понимаю нужно включить SVI на интерфейсе Gi0/7 чтобы мою правило
>> работало таким образом
>> R(config-if)#ip access-group buh out
> А порт как настроен? Какую ошибку пишет?
ошибку пишет invalid input detect.....
interface GigabitEthernet0/7
switchport access vlan 3
switchport mode access
switchport protected
switchport port-security maximum 2
switchport port-security
switchport port-security violation restrict
switchport port-security mac-address sticky
switchport port-security mac-address 001F.67a0.a7e8 vlan access
switchport port-security mac-address sticky 001B.69a0.a4e1 vlan access
ip access-group buh in
spanning-tree portfast
end

"ACL inout проблема"
Отправлено Andrey , 26-Фев-16 21:19

>[оверквотинг удален]
> ip access-list extended buh(имя правила)
> permit tcp any any eq 80 443......
> permit udp any any eq 500 1434......
> R(config-if) #
> ip access group buh IN - работает
> прописываю тоже правило но на выход
> ip access group buh OUT - пишет ошибку...
> Как я понимаю нужно включить SVI на интерфейсе Gi0/7 чтобы мою правило
> работало таким образом
> R(config-if)#ip access-group buh out
ACL на изначально L2 железке? Не боитесь что железка просто сдохнет?
На такой железке extended ACL больше чем для защиты ControlPlane не стоит вешать.
И да, у циски прямо сказано:
Applying an IPv4 ACL to an Interface
Note these guidelines:
•Apply an ACL only to inbound Layer 2 ports.
•Apply an ACL to either inbound or outbound VLAN interfaces to filter packets that are intended for the CPU, such as SNMP, Telnet, or web traffic.
http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst29...
Фаервол лучше включить на самом сервере или вынести сервер в VLAN, а VLAN на роутере или L3 свитче закрыть ACL. Но никогда на L2 свитче такое не делать.

"ACL inout проблема"
Отправлено Otherkot , 29-Фев-16 08:57

>[оверквотинг удален]
> Applying an IPv4 ACL to an Interface
> Note these guidelines:
> •Apply an ACL only to inbound Layer 2 ports.
> •Apply an ACL to either inbound or outbound VLAN interfaces to filter
> packets that are intended for the CPU, such as SNMP, Telnet,
> or web traffic.
> http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst29...
> Фаервол лучше включить на самом сервере или вынести сервер в VLAN, а
> VLAN на роутере или L3 свитче закрыть ACL. Но никогда на
> L2 свитче такое не делать.
Да, ACL изначально на L2.Только учусь с циской обращаться,поэтому вопрос:Почему она может сдохнуть?
И,да что такое 'ControlPlane' ?

"ACL inout проблема"
Отправлено Andrey , 29-Фев-16 09:46

>[оверквотинг удален]
>> •Apply an ACL to either inbound or outbound VLAN interfaces to filter
>> packets that are intended for the CPU, such as SNMP, Telnet,
>> or web traffic.
>> http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst29...
>> Фаервол лучше включить на самом сервере или вынести сервер в VLAN, а
>> VLAN на роутере или L3 свитче закрыть ACL. Но никогда на
>> L2 свитче такое не делать.
> Да, ACL изначально на L2.Только учусь с циской обращаться,поэтому вопрос:Почему она может
> сдохнуть?
> И,да что такое 'ControlPlane' ?
Процессор L2 коммутатора не предназначен для обработки трафика L3 на полных (и даже не полных) скоростях интерфейсов. По русски - не хватит процессора.
Control Plane это уровни обработки трафика проходящего через маршрутизатор/коммутатор или обращенный непосредственно к оборудованию. Доходчиво объяснено здесь: http://www.anticisco.ru/blogs/2012/06/%D0%B7%.../