URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 20125
[ Назад ]

Исходное сообщение
"acl и catalyst 2960"
Отправлено KpaH4iTo , 27-Ноя-09 11:12

Здравствуйте уважаемые!!!
Помогите новичку в решении вопроса. В документации ответа не нашёл. Хочу использовать acl в коммутаторе catalyst 2960. Выяснил, что если порт находится в режиме switchport, то смысла в acl нет. Как его перевести в другой режим - в какой? И какие будут отличия от режима switchport, т.е. как это может сказаться на устройстве, подключенном к этому порту?

Содержание

acl и catalyst 2960,Александр, 12:19 , 27-Ноя-09
- acl и catalyst 2960,GolDi, 12:24 , 27-Ноя-09
  - acl и catalyst 2960,Александр, 12:54 , 27-Ноя-09
    - acl и catalyst 2960,KpaH4iTo, 14:28 , 27-Ноя-09
      - acl и catalyst 2960,KiM, 23:31 , 29-Ноя-09
        
        acl и catalyst 2960,KpaH4iTo, 09:21 , 30-Ноя-09
      - acl и catalyst 2960,Stell, 11:32 , 30-Ноя-09

Сообщения в этом обсуждении

"acl и catalyst 2960"
Отправлено Александр , 27-Ноя-09 12:19

>Здравствуйте уважаемые!!!
>Помогите новичку в решении вопроса. В документации ответа не нашёл. Хочу использовать
>acl в коммутаторе catalyst 2960. Выяснил, что если порт находится в
>режиме switchport, то смысла в acl нет. Как его перевести в
>другой режим - в какой? И какие будут отличия от режима
>switchport, т.е. как это может сказаться на устройстве, подключенном к этому
>порту?
порт может быть свитч портом (l2) а может быть роут портом (l3)
switchport
no switchport
соответсвенно
вы сначала напишит, что хотите сделать, а потом уже поможем вам решить, какой ACL вам использовать

"acl и catalyst 2960"
Отправлено GolDi , 27-Ноя-09 12:24

>>Здравствуйте уважаемые!!!
>>Помогите новичку в решении вопроса. В документации ответа не нашёл. Хочу использовать
>>acl в коммутаторе catalyst 2960. Выяснил, что если порт находится в
>>режиме switchport, то смысла в acl нет. Как его перевести в
>>другой режим - в какой? И какие будут отличия от режима
>>switchport, т.е. как это может сказаться на устройстве, подключенном к этому
>>порту?
>
>порт может быть свитч портом (l2) а может быть роут портом (l3)
>
на 2960 только l2
>switchport
>no switchport
>соответсвенно
>
>вы сначала напишит, что хотите сделать, а потом уже поможем вам решить,
>какой ACL вам использовать

"acl и catalyst 2960"
Отправлено Александр , 27-Ноя-09 12:54

>[оверквотинг удален]
>>>режиме switchport, то смысла в acl нет. Как его перевести в
>>>другой режим - в какой? И какие будут отличия от режима
>>>switchport, т.е. как это может сказаться на устройстве, подключенном к этому
>>>порту?
>>
>>порт может быть свитч портом (l2) а может быть роут портом (l3)
>>
>
>на 2960 только l2
>
это естесственно :) я так, чисто теоретически написал, какой может быть порт :)
в случае 2960, оно окромя как layer 2 ничего не умеет.
Напишите какие задачи перед вами стоят. ACL работают и на L2, нужно только понять что нужно

"acl и catalyst 2960"
Отправлено KpaH4iTo , 27-Ноя-09 14:28

>[оверквотинг удален]
>>
>>на 2960 только l2
>>
>
>это естесственно :) я так, чисто теоретически написал, какой может быть порт
>:)
>в случае 2960, оно окромя как layer 2 ничего не умеет.
>
>Напишите какие задачи перед вами стоят. ACL работают и на L2, нужно
>только понять что нужно
В чём может быть ошибка в acl списке на коммутаторе catalyst 2960
Хочу запретить хосту 192.168.202.77 доступ к хосту 192.168.202.90(gi0/25).
switch2(config)#ip access-list standard 1
switch2(config-std-nacl)#deny host 192.168.202.77
switch2(config-std-nacl)#permit any
switch2(config-std-nacl)#exit
switch2(config)#int gi0/25
switch2(config-if)#ip access-group 1 in
switch2(config-if)#end
switch2#wr
Building configuration...
[OK]
В результате ping 192.168.202.90 с хоста 192.168.202.77 всё равно проходит.
По идее ведь порт gi0/25 увидев пакет с адресом источника 192.168.202.77 должен его блокировать, а все остальные пропускать...
switch2#sh ip int gi0/25
GigabitEthernet0/25 is up, line protocol is up
Inbound access list is 1
switch2#sh access-lists
Standard IP access list 1
10 deny 192.168.202.77
20 permit any (23 matches)
Пинг шёл с адреса 192.168.202.77, а в правиле видно, что как будто бы нет.

"acl и catalyst 2960"
Отправлено KiM , 29-Ноя-09 23:31

>[оверквотинг удален]
>switch2#sh ip int gi0/25
>GigabitEthernet0/25 is up, line protocol is up
>Inbound access list is 1
>switch2#sh access-lists
>Standard IP access list 1
>10 deny 192.168.202.77
>20 permit any (23 matches)
>
>Пинг шёл с адреса 192.168.202.77, а в правиле видно, что как будто
>бы нет.
ip access-list extend test
10 deny ip host 192.168.202.90 host 192.168.202.77
20 permit ip any any
примерно так. вешать на порт где .202.90 как in

"acl и catalyst 2960"
Отправлено KpaH4iTo , 30-Ноя-09 09:21

>[оверквотинг удален]
>>20 permit any (23 matches)
>>
>>Пинг шёл с адреса 192.168.202.77, а в правиле видно, что как будто
>>бы нет.
>
>ip access-list extend test
>10 deny ip host 192.168.202.90 host 192.168.202.77
>20 permit ip any any
>
>примерно так. вешать на порт где .202.90 как in
пробовал...не работает

"acl и catalyst 2960"
Отправлено Stell , 30-Ноя-09 11:32

>switch2(config)#ip access-list standard 1
>switch2(config-std-nacl)#deny host 192.168.202.77
>switch2(config-std-nacl)#permit any
В стандартном ACL указывается адрес источника.
>switch2(config)#int gi0/25
>switch2(config-if)#ip access-group 1 in
Вы вешаете его для входящих пакетов.
На gi0/25 у вас не может входящих пакетов от источника 192.168.202.77, естественно он не работает.
Попробуйте повесить как out.