URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 9687
[ Назад ]

Исходное сообщение
"Контроль исходящего трафика на физических портах Catalyst-ов"
Отправлено ON , 27-Янв-06 14:40

Есть ли среди коммутаторов Cisco Catalyst модели поддерживающие
подобный синтаксис:
cat3560(config)#int fa0/1
cat3560(config-if)#ip access-group 2233 out
^
% Invalid input detected at '^' marker.
На WS-C2950T-24-EI и WS-C3560-24TS-S на физических интерфейсах
поддерживается только контроль входящего траффика:(
cat3560(config-if)#ip access-group 2233 ?
in inbound packets

Содержание

Контроль исходящего трафика на физических портах Catalyst-ов,е, 15:07 , 27-Янв-06
- Контроль исходящего трафика на физических портах Catalyst-ов,ON, 17:46 , 27-Янв-06
  - Контроль исходящего трафика на физических портах Catalyst-ов,Сайко, 18:08 , 27-Янв-06
    - Контроль исходящего трафика на физических портах Catalyst-ов,ON, 18:22 , 27-Янв-06

Сообщения в этом обсуждении

"Контроль исходящего трафика на физических портах Catalyst-ов"
Отправлено е , 27-Янв-06 15:07

>Есть ли среди коммутаторов Cisco Catalyst модели поддерживающие
>подобный синтаксис:
>
>cat3560(config)#int fa0/1
>cat3560(config-if)#ip access-group 2233 out
>
>На WS-C2950T-24-EI и WS-C3560-24TS-S на физических интерфейсах
>поддерживается только контроль входящего траффика:(
>
>cat3560(config-if)#ip access-group 2233 ?
> in inbound packets

А чем не устраивает прописать ACL на вход и выход влану?

"Контроль исходящего трафика на физических портах Catalyst-ов"
Отправлено ON , 27-Янв-06 17:46

>
>А чем не устраивает прописать ACL на вход и выход влану?
Прописал тест на WS-C3560-24TS-S:
!
interface Vlan1
ip address 192.168.0.245 255.255.255.0
ip access-group 101 in
ip access-group 102 out
!
ip classless
!
access-list 101 permit ip host 192.168.0.100 host 192.168.0.245
access-list 101 permit ip host 192.168.0.245 host 192.168.0.100
access-list 101 deny ip any any
access-list 102 permit ip host 192.168.0.100 host 192.168.0.245
access-list 102 permit ip host 192.168.0.245 host 192.168.0.100
access-list 102 deny ip any any

Подскажите, почему не применяет эти правила, что-где ещё прописать?

"Контроль исходящего трафика на физических портах Catalyst-ов"
Отправлено Сайко , 27-Янв-06 18:08

А что в итоге ты хочешь получить?
Если ограничить доступ на этот свитч, то просто закрой все ненужные сервисы(small udp/tcp services, http server и т.д.), а на line vty повесть ACL:
access-list 1 permit 192.168.0.100
!
line vty 0 4
access-class 1 in
line vty 5 15
access-class 1 in

"Контроль исходящего трафика на физических портах Catalyst-ов"
Отправлено ON , 27-Янв-06 18:22

>А что в итоге ты хочешь получить?
фаервол в центре сетки. 24 клиентских порта, два гигабитных серверных.
Клиенты ходят на определенные серверные адрес:порт. Всё замечательно файрволилось, но к паре-тройке клиентов нужен быть доступ от серваков.
как это реализовать на каталистах?