https://www.opennet.me/openforum/vsluhforumID6/20125.html Здравствуйте уважаемые!!!<br>Помогите новичку в решении вопроса. В документации ответа не нашёл. Хочу использовать acl в коммутаторе catalyst 2960. Выяснил, что если порт находится в режиме switchport, то смысла в acl нет. Как его перевести в другой режим - в какой? И какие будут отличия от режима switchport, т.е. как это может сказаться на устройстве, подключенном к этому порту?<br><br> https://www.opennet.me/openforum/vsluhforumID6/20125.html#7 Mon, 30 Nov 2009 08:32:12 GMT &gt;switch2(config)#ip access-list standard 1<br>&gt;switch2(config-std-nacl)#deny host 192.168.202.77<br>&gt;switch2(config-std-nacl)#permit any<br><br>В стандартном ACL указывается адрес источника.<br><br>&gt;switch2(config)#int gi0/25<br>&gt;switch2(config-if)#ip access-group 1 in<br><br>Вы вешаете его для входящих пакетов.<br>На gi0/25 у вас не может входящих пакетов от источника 192.168.202.77, естественно он не работает.<br>Попробуйте повесить как out.<br> https://www.opennet.me/openforum/vsluhforumID6/20125.html#6 Mon, 30 Nov 2009 06:21:27 GMT &gt;[оверквотинг удален]<br>&gt;&gt;20 permit any (23 matches) <br>&gt;&gt;<br>&gt;&gt;Пинг шёл с адреса 192.168.202.77, а в правиле видно, что как будто <br>&gt;&gt;бы нет. <br>&gt;<br>&gt;ip access-list extend test <br>&gt;10 deny ip host 192.168.202.90 host 192.168.202.77 <br>&gt;20 permit ip any any <br>&gt;<br>&gt;примерно так. вешать на порт где .202.90 как in <br><br>пробовал...не работает<br> https://www.opennet.me/openforum/vsluhforumID6/20125.html#5 Sun, 29 Nov 2009 20:31:00 GMT &gt;[оверквотинг удален]<br>&gt;switch2#sh ip int gi0/25 <br>&gt;GigabitEthernet0/25 is up, line protocol is up <br>&gt;Inbound access list is 1 <br>&gt;switch2#sh access-lists <br>&gt;Standard IP access list 1 <br>&gt;10 deny 192.168.202.77 <br>&gt;20 permit any (23 matches) <br>&gt;<br>&gt;Пинг шёл с адреса 192.168.202.77, а в правиле видно, что как будто <br>&gt;бы нет. <br><br>ip access-list extend test<br>10 deny ip host 192.168.202.90 host 192.168.202.77<br>20 permit ip any any<br><br>примерно так. вешать на порт где .202.90 как in<br> https://www.opennet.me/openforum/vsluhforumID6/20125.html#4 Fri, 27 Nov 2009 11:28:09 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt;на 2960 только l2 <br>&gt;&gt;<br>&gt;<br>&gt;это естесственно :) я так, чисто теоретически написал, какой может быть порт <br>&gt;:) <br>&gt;в случае 2960, оно окромя как layer 2 ничего не умеет. <br>&gt;<br>&gt;Напишите какие задачи перед вами стоят. ACL работают и на L2, нужно <br>&gt;только понять что нужно <br><br>В чём может быть ошибка в acl списке на коммутаторе catalyst 2960<br>Хочу запретить хосту 192.168.202.77 доступ к хосту 192.168.202.90(gi0/25).<br><br>switch2(config)#ip access-list standard 1<br>switch2(config-std-nacl)#deny host 192.168.202.77<br>switch2(config-std-nacl)#permit any<br>switch2(config-std-nacl)#exit<br>switch2(config)#int gi0/25<br>switch2(config-if)#ip access-group 1 in<br>switch2(config-if)#end<br>switch2#wr<br>Building configuration...<br>[OK]<br><br>В результате ping 192.168.202.90 с хоста 192.168.202.77 всё равно проходит.<br>По идее ведь порт gi0/25 увидев пакет с адресом источника 192.168.202.77 должен его блокировать, а все остальные пропускать...<br><br>switch2#sh ip int gi0/25<br>GigabitEthernet0/25 is up, line protocol https://www.opennet.me/openforum/vsluhforumID6/20125.html#3 Fri, 27 Nov 2009 09:54:18 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;режиме switchport, то смысла в acl нет. Как его перевести в <br>&gt;&gt;&gt;другой режим - в какой? И какие будут отличия от режима <br>&gt;&gt;&gt;switchport, т.е. как это может сказаться на устройстве, подключенном к этому <br>&gt;&gt;&gt;порту? <br>&gt;&gt;<br>&gt;&gt;порт может быть свитч портом (l2) а может быть роут портом (l3) <br>&gt;&gt;<br>&gt;<br>&gt;на 2960 только l2 <br>&gt;<br><br>это естесственно :) я так, чисто теоретически написал, какой может быть порт :)<br>в случае 2960, оно окромя как layer 2 ничего не умеет.<br><br>Напишите какие задачи перед вами стоят. ACL работают и на L2, нужно только понять что нужно<br><br><br> https://www.opennet.me/openforum/vsluhforumID6/20125.html#2 Fri, 27 Nov 2009 09:24:49 GMT &gt;&gt;Здравствуйте уважаемые!!! <br>&gt;&gt;Помогите новичку в решении вопроса. В документации ответа не нашёл. Хочу использовать <br>&gt;&gt;acl в коммутаторе catalyst 2960. Выяснил, что если порт находится в <br>&gt;&gt;режиме switchport, то смысла в acl нет. Как его перевести в <br>&gt;&gt;другой режим - в какой? И какие будут отличия от режима <br>&gt;&gt;switchport, т.е. как это может сказаться на устройстве, подключенном к этому <br>&gt;&gt;порту? <br>&gt;<br>&gt;порт может быть свитч портом (l2) а может быть роут портом (l3) <br>&gt;<br><br>на 2960 только l2<br><br>&gt;switchport <br>&gt;no switchport <br>&gt;соответсвенно <br>&gt;<br>&gt;вы сначала напишит, что хотите сделать, а потом уже поможем вам решить, <br>&gt;какой ACL вам использовать https://www.opennet.me/openforum/vsluhforumID6/20125.html#1 Fri, 27 Nov 2009 09:19:14 GMT &gt;Здравствуйте уважаемые!!! <br>&gt;Помогите новичку в решении вопроса. В документации ответа не нашёл. Хочу использовать <br>&gt;acl в коммутаторе catalyst 2960. Выяснил, что если порт находится в <br>&gt;режиме switchport, то смысла в acl нет. Как его перевести в <br>&gt;другой режим - в какой? И какие будут отличия от режима <br>&gt;switchport, т.е. как это может сказаться на устройстве, подключенном к этому <br>&gt;порту? <br><br>порт может быть свитч портом (l2) а может быть роут портом (l3) <br>switchport<br>no switchport <br>соответсвенно<br><br>вы сначала напишит, что хотите сделать, а потом уже поможем вам решить, какой ACL вам использовать<br><br>