The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"cisco catalyst 3550 и acl out"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"cisco catalyst 3550 и acl out" 
Сообщение от kba emailИскать по авторуВ закладки(ok) on 20-Дек-05, 08:12  (MSK)
пытаюсь настроить ACL - закрыть одну подсеть от другой.

ACL:


access-list 1 deny   10.0.0.0 0.255.255.255
access-list 1 permit any

fastEthernet 0/2:

interface FastEthernet0/2
description LAN
switchport access vlan 10
switchport mode access

на интерфейсе пытаюсь применить ip access-group 101 out, но не получается - доступен тока "in"

в доках вычитал: "For Layer 2 port ACLs, the switch does not support logging or outbound ACLs."

как быть ?

----------
show ver
Cisco IOS Software, C3550 Software (C3550-I5Q3L2-M), Version 12.2(25)SE, RELEASE SOFTWARE (fc)
Copyright (c) 1986-2004 by Cisco Systems, Inc.
Compiled Wed 10-Nov-04 18:07 by yenanh

ROM: Bootstrap program is C3550 boot loader

main-switch uptime is 1 week, 20 hours, 45 minutes
System returned to ROM by power-on
System restarted at 15:39:54 IRKT Mon Dec 12 2005
System image file is "flash:/c3550-i5q3l2-mz.122-25.SE.bin"

Cisco WS-C3550-24 (PowerPC) processor (revision M0) with 65526K/8192K bytes of memory.
Processor board ID CAT0825Z39E
Last reset from warm-reset
Running Layer2/3 Switching Image

Ethernet-controller 1 has 12 Fast Ethernet/IEEE 802.3 interfaces

Ethernet-controller 2 has 12 Fast Ethernet/IEEE 802.3 interfaces

Ethernet-controller 3 has 1 Gigabit Ethernet/IEEE 802.3 interface

Ethernet-controller 4 has 1 Gigabit Ethernet/IEEE 802.3 interface

24 FastEthernet interfaces
2 Gigabit Ethernet interfaces

The password-recovery mechanism is enabled.
384K bytes of flash-simulated NVRAM.
Base ethernet MAC Address:
Motherboard assembly number: 73-5700-11
Power supply part number: 34-0966-04
Motherboard serial number: CAT08230P25
Power supply serial number: LIT081004M9
Model revision number: M0
Motherboard revision number: A0
Model number: WS-C3550-24-SMI
System serial number: CAT0825Z39E
Configuration register is 0x10F

  Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]

1. "cisco catalyst 3550 и acl out" 
Сообщение от kuralesovo Искать по авторуВ закладки(??) on 20-Дек-05, 09:04  (MSK)
>пытаюсь настроить ACL - закрыть одну подсеть от другой.
>
>ACL:
>
>
>access-list 1 deny   10.0.0.0 0.255.255.255
>access-list 1 permit any
>
>fastEthernet 0/2:
>
>interface FastEthernet0/2
> description LAN
> switchport access vlan 10
> switchport mode access
>
>на интерфейсе пытаюсь применить ip access-group 101 out, но не получается -
>доступен тока "in"
>
>в доках вычитал: "For Layer 2 port ACLs, the switch does not
>support logging or outbound ACLs."
>
>как быть ?
>
>----------
>show ver
>Cisco IOS Software, C3550 Software (C3550-I5Q3L2-M), Version 12.2(25)SE, RELEASE SOFTWARE (fc)
>Copyright (c) 1986-2004 by Cisco Systems, Inc.
>Compiled Wed 10-Nov-04 18:07 by yenanh
>
>ROM: Bootstrap program is C3550 boot loader
>
>main-switch uptime is 1 week, 20 hours, 45 minutes
>System returned to ROM by power-on
>System restarted at 15:39:54 IRKT Mon Dec 12 2005
>System image file is "flash:/c3550-i5q3l2-mz.122-25.SE.bin"
>
>Cisco WS-C3550-24 (PowerPC) processor (revision M0) with 65526K/8192K bytes of memory.
>Processor board ID CAT0825Z39E
>Last reset from warm-reset
>Running Layer2/3 Switching Image
>
>Ethernet-controller 1 has 12 Fast Ethernet/IEEE 802.3 interfaces
>
>Ethernet-controller 2 has 12 Fast Ethernet/IEEE 802.3 interfaces
>
>Ethernet-controller 3 has 1 Gigabit Ethernet/IEEE 802.3 interface
>
>Ethernet-controller 4 has 1 Gigabit Ethernet/IEEE 802.3 interface
>
>24 FastEthernet interfaces
>2 Gigabit Ethernet interfaces
>
>The password-recovery mechanism is enabled.
>384K bytes of flash-simulated NVRAM.
>Base ethernet MAC Address:
>Motherboard assembly number: 73-5700-11
>Power supply part number: 34-0966-04
>Motherboard serial number: CAT08230P25
>Power supply serial number: LIT081004M9
>Model revision number: M0
>Motherboard revision number: A0
>Model number: WS-C3550-24-SMI
>System serial number: CAT0825Z39E
>Configuration register is 0x10F


acl надо на vlan вешать
interface Vlan10
  ip access-group 1 out


  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "cisco catalyst 3550 и acl out" 
Сообщение от sh_ Искать по авторуВ закладки(??) on 20-Дек-05, 09:27  (MSK)
Либо
conf t
interface FastEthernet0/2
no sw
ip add blablabla...
ip access-gro 1 out
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "cisco catalyst 3550 и acl out" 
Сообщение от kba emailИскать по авторуВ закладки(ok) on 21-Дек-05, 04:06  (MSK)
kuralesovo - вланы - у меня на маршрутизаторе подняты.... а я хочу acl именно на свитче настроить......

sh_  - чё-то не догоняю......

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "cisco catalyst 3550 и acl out" 
Сообщение от Изгой emailИскать по авторуВ закладки(??) on 21-Дек-05, 09:04  (MSK)
>kuralesovo - вланы - у меня на маршрутизаторе подняты.... а я хочу
>acl именно на свитче настроить......
>
>sh_  - чё-то не догоняю......


Sh - писал о том , что для того чтобы прописать акцесс аут на интерфейсе свича 2 уровня , надо в режиме конфигурирования интерфейса ,
conf t
int fa0/1
ввести команду - no switshport ( но вот в этом моменте я не помню надо ли вводить глобально команду ip routing , и прописывать ip adress на этом интерфейсе)

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "cisco catalyst 3550 и acl out" 
Сообщение от kba emailИскать по авторуВ закладки(ok) on 23-Дек-05, 16:04  (MSK)
>>kuralesovo - вланы - у меня на маршрутизаторе подняты.... а я хочу
>>acl именно на свитче настроить......
>>
>>sh_  - чё-то не догоняю......
>
>
>Sh - писал о том , что для того чтобы прописать акцесс
>аут на интерфейсе свича 2 уровня , надо в режиме конфигурирования
>интерфейса ,
>conf t
>int fa0/1
>ввести команду - no switshport ( но вот в этом моменте я
>не помню надо ли вводить глобально команду ip routing , и
>прописывать ip adress на этом интерфейсе)

если ввожу no switchport - то всё отрубается....

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "cisco catalyst 3550 и acl out" 
Сообщение от Изгой emailИскать по авторуВ закладки(??) on 23-Дек-05, 16:50  (MSK)
>>>kuralesovo - вланы - у меня на маршрутизаторе подняты.... а я хочу
>>>acl именно на свитче настроить......
>>>
>>>sh_  - чё-то не догоняю......
>>
>>
>>Sh - писал о том , что для того чтобы прописать акцесс
>>аут на интерфейсе свича 2 уровня , надо в режиме конфигурирования
>>интерфейса ,
>>conf t
>>int fa0/1
>>ввести команду - no switshport ( но вот в этом моменте я
>>не помню надо ли вводить глобально команду ip routing , и
>>прописывать ip adress на этом интерфейсе)
>
>если ввожу no switchport - то всё отрубается....
Отрубаеться вводите команду
ip add
no sh
глобально ip rout

Только вот будет ли работать вопрос.
Может вам switsh port protected поможет ? на интерфейсах свича ?
а вообще в вашем случае , я б рассказал нам о топологии своей сети и как там всё терминируеться? Может всё таки вланами поделить .

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "cisco catalyst 3550 и acl out" 
Сообщение от kba emailИскать по авторуВ закладки(ok) on 24-Дек-05, 12:18  (MSK)
>Только вот будет ли работать вопрос.
>Может вам switsh port protected поможет ? на интерфейсах свича ?
>а вообще в вашем случае , я б рассказал нам о топологии
>своей сети и как там всё терминируеться? Может всё таки вланами
>поделить .


топология обычная. cisco 2620xm +  trunk + catalyst 3550. вланы подняты на маршрутизаторе. к одному из портов каталиста - подключены пользователи из двух влан-ов (корп. сетка), к остальным портам подключено разное барахло - выделенщики, диа-лап и т. д. Вот корп. сетку-то мне и надо защитить от разных посягательств...

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "cisco catalyst 3550 и acl out" 
Сообщение от nikl Искать по авторуВ закладки on 24-Дек-05, 14:18  (MSK)
>топология обычная. cisco 2620xm +  trunk + catalyst 3550. вланы подняты
>на маршрутизаторе. к одному из портов каталиста - подключены пользователи из
>двух влан-ов (корп. сетка), к остальным портам подключено разное барахло -
>выделенщики, диа-лап и т. д. Вот корп. сетку-то мне и надо
>защитить от разных посягательств...
создай acl с нужными правилами и вешай его на fa0/0.123 , где 123
это твой влан, который надо защитить.


  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх


Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру