Здравствуйте уважаемые!!!
Помогите новичку в решении вопроса. В документации ответа не нашёл. Хочу использовать acl в коммутаторе catalyst 2960. Выяснил, что если порт находится в режиме switchport, то смысла в acl нет. Как его перевести в другой режим - в какой? И какие будут отличия от режима switchport, т.е. как это может сказаться на устройстве, подключенном к этому порту?
>Здравствуйте уважаемые!!!
>Помогите новичку в решении вопроса. В документации ответа не нашёл. Хочу использовать
>acl в коммутаторе catalyst 2960. Выяснил, что если порт находится в
>режиме switchport, то смысла в acl нет. Как его перевести в
>другой режим - в какой? И какие будут отличия от режима
>switchport, т.е. как это может сказаться на устройстве, подключенном к этому
>порту?порт может быть свитч портом (l2) а может быть роут портом (l3)
switchport
no switchport
соответсвенновы сначала напишит, что хотите сделать, а потом уже поможем вам решить, какой ACL вам использовать
>>Здравствуйте уважаемые!!!
>>Помогите новичку в решении вопроса. В документации ответа не нашёл. Хочу использовать
>>acl в коммутаторе catalyst 2960. Выяснил, что если порт находится в
>>режиме switchport, то смысла в acl нет. Как его перевести в
>>другой режим - в какой? И какие будут отличия от режима
>>switchport, т.е. как это может сказаться на устройстве, подключенном к этому
>>порту?
>
>порт может быть свитч портом (l2) а может быть роут портом (l3)
>на 2960 только l2
>switchport
>no switchport
>соответсвенно
>
>вы сначала напишит, что хотите сделать, а потом уже поможем вам решить,
>какой ACL вам использовать
>[оверквотинг удален]
>>>режиме switchport, то смысла в acl нет. Как его перевести в
>>>другой режим - в какой? И какие будут отличия от режима
>>>switchport, т.е. как это может сказаться на устройстве, подключенном к этому
>>>порту?
>>
>>порт может быть свитч портом (l2) а может быть роут портом (l3)
>>
>
>на 2960 только l2
>это естесственно :) я так, чисто теоретически написал, какой может быть порт :)
в случае 2960, оно окромя как layer 2 ничего не умеет.Напишите какие задачи перед вами стоят. ACL работают и на L2, нужно только понять что нужно
>[оверквотинг удален]
>>
>>на 2960 только l2
>>
>
>это естесственно :) я так, чисто теоретически написал, какой может быть порт
>:)
>в случае 2960, оно окромя как layer 2 ничего не умеет.
>
>Напишите какие задачи перед вами стоят. ACL работают и на L2, нужно
>только понять что нужноВ чём может быть ошибка в acl списке на коммутаторе catalyst 2960
Хочу запретить хосту 192.168.202.77 доступ к хосту 192.168.202.90(gi0/25).switch2(config)#ip access-list standard 1
switch2(config-std-nacl)#deny host 192.168.202.77
switch2(config-std-nacl)#permit any
switch2(config-std-nacl)#exit
switch2(config)#int gi0/25
switch2(config-if)#ip access-group 1 in
switch2(config-if)#end
switch2#wr
Building configuration...
[OK]В результате ping 192.168.202.90 с хоста 192.168.202.77 всё равно проходит.
По идее ведь порт gi0/25 увидев пакет с адресом источника 192.168.202.77 должен его блокировать, а все остальные пропускать...switch2#sh ip int gi0/25
GigabitEthernet0/25 is up, line protocol is up
Inbound access list is 1
switch2#sh access-lists
Standard IP access list 1
10 deny 192.168.202.77
20 permit any (23 matches)Пинг шёл с адреса 192.168.202.77, а в правиле видно, что как будто бы нет.
>[оверквотинг удален]
>switch2#sh ip int gi0/25
>GigabitEthernet0/25 is up, line protocol is up
>Inbound access list is 1
>switch2#sh access-lists
>Standard IP access list 1
>10 deny 192.168.202.77
>20 permit any (23 matches)
>
>Пинг шёл с адреса 192.168.202.77, а в правиле видно, что как будто
>бы нет.ip access-list extend test
10 deny ip host 192.168.202.90 host 192.168.202.77
20 permit ip any anyпримерно так. вешать на порт где .202.90 как in
>[оверквотинг удален]
>>20 permit any (23 matches)
>>
>>Пинг шёл с адреса 192.168.202.77, а в правиле видно, что как будто
>>бы нет.
>
>ip access-list extend test
>10 deny ip host 192.168.202.90 host 192.168.202.77
>20 permit ip any any
>
>примерно так. вешать на порт где .202.90 как inпробовал...не работает
>switch2(config)#ip access-list standard 1
>switch2(config-std-nacl)#deny host 192.168.202.77
>switch2(config-std-nacl)#permit anyВ стандартном ACL указывается адрес источника.
>switch2(config)#int gi0/25
>switch2(config-if)#ip access-group 1 inВы вешаете его для входящих пакетов.
На gi0/25 у вас не может входящих пакетов от источника 192.168.202.77, естественно он не работает.
Попробуйте повесить как out.