Подскажите пожалуйста, можно ли назначить ACL на Ethernet порты встроенного коммутатора L2 Cisco 871. Версия ПО: Cisco IOS Software, C870 Software (C870-ADVIPSERVICESK9-M), Version 12.4(4)T8.
Нужно пробросить vlan на этом коммутаторе и фильтровать трафик на портах.
Заранее спасибо!
Вы хотите фильтровать на L2 или L3 уровнях?
> Вы хотите фильтровать на L2 или L3 уровнях?На L3. 2960 позволяет применять ACL L3 на FastEthernet интерфейсам. В 871 на int FastEthernet1,
например, нет возможности сделать: ip access-group ... и т.д.
Это ограничение конкретного IOS или 871 вообще не позволит этого сделать?
>> Вы хотите фильтровать на L2 или L3 уровнях?
> На L3. 2960 позволяет применять ACL L3 на FastEthernet интерфейсам. В 871
> на int FastEthernet1,
> например, нет возможности сделать: ip access-group ... и т.д.
> Это ограничение конкретного IOS или 871 вообще не позволит этого сделать?http://www.cisco.com/en/US/docs/routers/access/800/850/softw...
ну, если Вам ACL нужны на L3, то все легко, создавайте SVI и уже на них навешивайте ACL
> ну, если Вам ACL нужны на L3, то все легко, создавайте SVI
> и уже на них навешивайте ACLЭто понятно. На свиче, по моему, нельзя создать 2 Vlan интерфейса из одной подсети? (условно говоря 10.0.0.1 и 10.0.0.2 с маской 24 бита)
Нужна такая схема... внутри машина с "белым" ip, есть подсеть с маской 29 бит. Разбить её на 2 подсети с маской 30 не получиться из за особенности маршрутизации у провайдера...
есть 871 cisco , за ним static nat, pat и т.д. НО: нужно маршрутизировать напрямую комп с белым ip наружу, без nat.
Можно поставить свич(для этого есть только Dlink неуправляемый) , потом роутер 871 для всех , а комп с белым ip напрямую в свич. что небезопасно (комп с белым ip виндовый, хоть и редко используется). Нормально свича типа 2960 свободного нет, есть только ещё одна 871 с 2 свободными портам L2 коммутатора. Нужны acl для "белого" ip (виндового) + трафик этот "дополнительный" считать. как это по уму сделать. ..