URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 9448
[ Назад ]

Исходное сообщение
"cisco catalyst 3550 и acl out"
Отправлено kba , 20-Дек-05 08:12

пытаюсь настроить ACL - закрыть одну подсеть от другой.
ACL:

access-list 1 deny 10.0.0.0 0.255.255.255
access-list 1 permit any
fastEthernet 0/2:
interface FastEthernet0/2
description LAN
switchport access vlan 10
switchport mode access
на интерфейсе пытаюсь применить ip access-group 101 out, но не получается - доступен тока "in"
в доках вычитал: "For Layer 2 port ACLs, the switch does not support logging or outbound ACLs."
как быть ?
----------
show ver
Cisco IOS Software, C3550 Software (C3550-I5Q3L2-M), Version 12.2(25)SE, RELEASE SOFTWARE (fc)
Copyright (c) 1986-2004 by Cisco Systems, Inc.
Compiled Wed 10-Nov-04 18:07 by yenanh
ROM: Bootstrap program is C3550 boot loader
main-switch uptime is 1 week, 20 hours, 45 minutes
System returned to ROM by power-on
System restarted at 15:39:54 IRKT Mon Dec 12 2005
System image file is "flash:/c3550-i5q3l2-mz.122-25.SE.bin"
Cisco WS-C3550-24 (PowerPC) processor (revision M0) with 65526K/8192K bytes of memory.
Processor board ID CAT0825Z39E
Last reset from warm-reset
Running Layer2/3 Switching Image
Ethernet-controller 1 has 12 Fast Ethernet/IEEE 802.3 interfaces
Ethernet-controller 2 has 12 Fast Ethernet/IEEE 802.3 interfaces
Ethernet-controller 3 has 1 Gigabit Ethernet/IEEE 802.3 interface
Ethernet-controller 4 has 1 Gigabit Ethernet/IEEE 802.3 interface
24 FastEthernet interfaces
2 Gigabit Ethernet interfaces
The password-recovery mechanism is enabled.
384K bytes of flash-simulated NVRAM.
Base ethernet MAC Address:
Motherboard assembly number: 73-5700-11
Power supply part number: 34-0966-04
Motherboard serial number: CAT08230P25
Power supply serial number: LIT081004M9
Model revision number: M0
Motherboard revision number: A0
Model number: WS-C3550-24-SMI
System serial number: CAT0825Z39E
Configuration register is 0x10F

Содержание

cisco catalyst 3550 и acl out,kuralesovo, 09:04 , 20-Дек-05
- cisco catalyst 3550 и acl out,sh_, 09:27 , 20-Дек-05
  - cisco catalyst 3550 и acl out,kba, 04:06 , 21-Дек-05
    - cisco catalyst 3550 и acl out,Изгой, 09:04 , 21-Дек-05
      - cisco catalyst 3550 и acl out,kba, 16:04 , 23-Дек-05
        
        cisco catalyst 3550 и acl out,Изгой, 16:50 , 23-Дек-05
        
        cisco catalyst 3550 и acl out,kba, 12:18 , 24-Дек-05
        
        cisco catalyst 3550 и acl out,nikl, 14:18 , 24-Дек-05

Сообщения в этом обсуждении

"cisco catalyst 3550 и acl out"
Отправлено kuralesovo , 20-Дек-05 09:04

>пытаюсь настроить ACL - закрыть одну подсеть от другой.
>
>ACL:
>
>
>access-list 1 deny 10.0.0.0 0.255.255.255
>access-list 1 permit any
>
>fastEthernet 0/2:
>
>interface FastEthernet0/2
> description LAN
> switchport access vlan 10
> switchport mode access
>
>на интерфейсе пытаюсь применить ip access-group 101 out, но не получается -
>доступен тока "in"
>
>в доках вычитал: "For Layer 2 port ACLs, the switch does not
>support logging or outbound ACLs."
>
>как быть ?
>
>----------
>show ver
>Cisco IOS Software, C3550 Software (C3550-I5Q3L2-M), Version 12.2(25)SE, RELEASE SOFTWARE (fc)
>Copyright (c) 1986-2004 by Cisco Systems, Inc.
>Compiled Wed 10-Nov-04 18:07 by yenanh
>
>ROM: Bootstrap program is C3550 boot loader
>
>main-switch uptime is 1 week, 20 hours, 45 minutes
>System returned to ROM by power-on
>System restarted at 15:39:54 IRKT Mon Dec 12 2005
>System image file is "flash:/c3550-i5q3l2-mz.122-25.SE.bin"
>
>Cisco WS-C3550-24 (PowerPC) processor (revision M0) with 65526K/8192K bytes of memory.
>Processor board ID CAT0825Z39E
>Last reset from warm-reset
>Running Layer2/3 Switching Image
>
>Ethernet-controller 1 has 12 Fast Ethernet/IEEE 802.3 interfaces
>
>Ethernet-controller 2 has 12 Fast Ethernet/IEEE 802.3 interfaces
>
>Ethernet-controller 3 has 1 Gigabit Ethernet/IEEE 802.3 interface
>
>Ethernet-controller 4 has 1 Gigabit Ethernet/IEEE 802.3 interface
>
>24 FastEthernet interfaces
>2 Gigabit Ethernet interfaces
>
>The password-recovery mechanism is enabled.
>384K bytes of flash-simulated NVRAM.
>Base ethernet MAC Address:
>Motherboard assembly number: 73-5700-11
>Power supply part number: 34-0966-04
>Motherboard serial number: CAT08230P25
>Power supply serial number: LIT081004M9
>Model revision number: M0
>Motherboard revision number: A0
>Model number: WS-C3550-24-SMI
>System serial number: CAT0825Z39E
>Configuration register is 0x10F

acl надо на vlan вешать
interface Vlan10
ip access-group 1 out

"cisco catalyst 3550 и acl out"
Отправлено sh_ , 20-Дек-05 09:27

Либо
conf t
interface FastEthernet0/2
no sw
ip add blablabla...
ip access-gro 1 out

"cisco catalyst 3550 и acl out"
Отправлено kba , 21-Дек-05 04:06

kuralesovo - вланы - у меня на маршрутизаторе подняты.... а я хочу acl именно на свитче настроить......
sh_ - чё-то не догоняю......

"cisco catalyst 3550 и acl out"
Отправлено Изгой , 21-Дек-05 09:04

>kuralesovo - вланы - у меня на маршрутизаторе подняты.... а я хочу
>acl именно на свитче настроить......
>
>sh_ - чё-то не догоняю......

Sh - писал о том , что для того чтобы прописать акцесс аут на интерфейсе свича 2 уровня , надо в режиме конфигурирования интерфейса ,
conf t
int fa0/1
ввести команду - no switshport ( но вот в этом моменте я не помню надо ли вводить глобально команду ip routing , и прописывать ip adress на этом интерфейсе)

"cisco catalyst 3550 и acl out"
Отправлено kba , 23-Дек-05 16:04

>>kuralesovo - вланы - у меня на маршрутизаторе подняты.... а я хочу
>>acl именно на свитче настроить......
>>
>>sh_ - чё-то не догоняю......
>
>
>Sh - писал о том , что для того чтобы прописать акцесс
>аут на интерфейсе свича 2 уровня , надо в режиме конфигурирования
>интерфейса ,
>conf t
>int fa0/1
>ввести команду - no switshport ( но вот в этом моменте я
>не помню надо ли вводить глобально команду ip routing , и
>прописывать ip adress на этом интерфейсе)
если ввожу no switchport - то всё отрубается....

"cisco catalyst 3550 и acl out"
Отправлено Изгой , 23-Дек-05 16:50

>>>kuralesovo - вланы - у меня на маршрутизаторе подняты.... а я хочу
>>>acl именно на свитче настроить......
>>>
>>>sh_ - чё-то не догоняю......
>>
>>
>>Sh - писал о том , что для того чтобы прописать акцесс
>>аут на интерфейсе свича 2 уровня , надо в режиме конфигурирования
>>интерфейса ,
>>conf t
>>int fa0/1
>>ввести команду - no switshport ( но вот в этом моменте я
>>не помню надо ли вводить глобально команду ip routing , и
>>прописывать ip adress на этом интерфейсе)
>
>если ввожу no switchport - то всё отрубается....
Отрубаеться вводите команду
ip add
no sh
глобально ip rout
Только вот будет ли работать вопрос.
Может вам switsh port protected поможет ? на интерфейсах свича ?
а вообще в вашем случае , я б рассказал нам о топологии своей сети и как там всё терминируеться? Может всё таки вланами поделить .

"cisco catalyst 3550 и acl out"
Отправлено kba , 24-Дек-05 12:18

>Только вот будет ли работать вопрос.
>Может вам switsh port protected поможет ? на интерфейсах свича ?
>а вообще в вашем случае , я б рассказал нам о топологии
>своей сети и как там всё терминируеться? Может всё таки вланами
>поделить .

топология обычная. cisco 2620xm + trunk + catalyst 3550. вланы подняты на маршрутизаторе. к одному из портов каталиста - подключены пользователи из двух влан-ов (корп. сетка), к остальным портам подключено разное барахло - выделенщики, диа-лап и т. д. Вот корп. сетку-то мне и надо защитить от разных посягательств...

"cisco catalyst 3550 и acl out"
Отправлено nikl , 24-Дек-05 14:18

>топология обычная. cisco 2620xm + trunk + catalyst 3550. вланы подняты
>на маршрутизаторе. к одному из портов каталиста - подключены пользователи из
>двух влан-ов (корп. сетка), к остальным портам подключено разное барахло -
>выделенщики, диа-лап и т. д. Вот корп. сетку-то мне и надо
>защитить от разных посягательств...
создай acl с нужными правилами и вешай его на fa0/0.123 , где 123
это твой влан, который надо защитить.