forum.opennet.ru - "CIsco 2960 port acl" (16)

форумы

помощь

поиск

регистрация

вход/выход

слежка

"CIsco 2960 port acl"

Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"CIsco 2960 port acl"	+/–
Сообщение от st0rk on 30-Июн-16, 09:31
Добрый день! строю access-list чтобы пропускал только определенные ip на портах, но что-то пускает все подряд. Итак по порядку: 500-switch>show ver Cisco IOS Software, C2960 Software (C2960-LANBASE-M), Version 12.2(35)SE5, RELEASE SOFTWARE (fc1) Copyright (c) 1986-2007 by Cisco Systems, Inc. Compiled Thu 19-Jul-07 20:06 by nachen Image text-base: 0x00003000, data-base: 0x00D40000 ROM: Bootstrap program is C2960 boot loader BOOTLDR: C2960 Boot Loader (C2960-HBOOT-M) Version 12.2(25r)SEE6, RELEASE SOFTWARE (fc1) 500-switch uptime is 20 hours, 2 minutes System returned to ROM by power-on System image file is "flash:c2960-lanbase-mz.122-35.SE5/c2960-lanbase-mz.122-35.SE5.bin" cisco WS-C2960-24TT-L (PowerPC405) processor (revision F0) with 61440K/4088K bytes of memory. Processor board ID FOC1233Y0U7 Last reset from power-on 1 Virtual Ethernet interface 24 FastEthernet interfaces 2 Gigabit Ethernet interfaces The password-recovery mechanism is enabled. 64K bytes of flash-simulated non-volatile configuration memory. Base ethernet MAC Address : 00:22:BE:F3:13:00 Motherboard assembly number : 73-11473-05 Power supply part number : 341-0097-02 Motherboard serial number : FOC12325B80 Power supply serial number : DCA12288976 Model revision number : F0 Motherboard revision number : A0 Model number : WS-C2960-24TT-L System serial number : FOC1233Y0U7 Top Assembly Part Number : 800-29859-02 Top Assembly Revision Number : A0 Version ID : V05 CLEI Code Number : COM3L00BRD Hardware Board Revision Number : 0x01 Switch Ports Model SW Version SW Image ------ ----- ----- ---------- ---------- * 1 26 WS-C2960-24TT-L 12.2(35)SE5 C2960-LANBASE-M Configuration register is 0xF Вот сам конфиг: ! version 12.2 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname 500-switch ! enable secret 5 $1$/WQ7$ARWSO5XzUqbMWq8OjOtlt0 enable password cisco ! no aaa new-model clock timezone EET 2 system mtu routing 1500 ip subnet-zero ! ! ! ! no file verify auto spanning-tree mode pvst spanning-tree extend system-id ! vlan internal allocation policy ascending ! interface FastEthernet0/1 ip access-group 1 in ! interface FastEthernet0/2 ip access-group 2 in ! interface FastEthernet0/3 ip access-group 3 in ! interface FastEthernet0/4 ip access-group 4 in ! interface FastEthernet0/5 ip access-group 5 in ! interface FastEthernet0/6 ip access-group 6 in ! interface FastEthernet0/7 ip access-group 7 in ! interface FastEthernet0/8 ! interface FastEthernet0/9 ! interface FastEthernet0/10 ! interface FastEthernet0/11 ! interface FastEthernet0/12 ! interface FastEthernet0/13 ! interface FastEthernet0/14 ! interface FastEthernet0/15 ! interface FastEthernet0/16 ! interface FastEthernet0/17 ! interface FastEthernet0/18 ! interface FastEthernet0/19 ! interface FastEthernet0/20 ! interface FastEthernet0/21 ! interface FastEthernet0/22 ! interface FastEthernet0/23 description 258 speed 100 ! interface FastEthernet0/24 ! interface GigabitEthernet0/1 ! interface GigabitEthernet0/2 ! interface Vlan1 ip address 192.168.0.5 255.255.0.0 no ip route-cache ! ip default-gateway 192.168.0.7 ip http server access-list 3 permit 192.168.22.8 access-list 3 permit 192.168.22.6 access-list 3 permit 192.168.22.7 access-list 3 permit 192.168.22.4 access-list 3 permit 192.168.22.5 access-list 3 permit 192.168.22.2 access-list 3 permit 192.168.22.3 access-list 3 permit 192.168.22.1 ! control-plane ! ! line con 0 line vty 0 4 password jkjkjkjkj login line vty 5 15 login ! end вот сами access-list: 500-switch>show access-list 3 Standard IP access list 3 80 permit 192.168.22.8 60 permit 192.168.22.6 70 permit 192.168.22.7 40 permit 192.168.22.4 50 permit 192.168.22.5 20 permit 192.168.22.2 30 permit 192.168.22.3 10 permit 192.168.22.1 (108 matches) подскажите почему не работает access-list?
Ответить \| Правка \| Cообщить модератору

Оглавление

CIsco 2960 port acl, ShyLion, 12:24 , 30-Июн-16, (1) +1

CIsco 2960 port acl, StreSS.t, 18:34 , 30-Июн-16, (2)

CIsco 2960 port acl, Andrey, 22:39 , 30-Июн-16, (3)

CIsco 2960 port acl, st0rk, 09:33 , 01-Июл-16, (4)

CIsco 2960 port acl, ShyLion, 15:31 , 01-Июл-16, (5)

CIsco 2960 port acl, TechXytech, 16:57 , 01-Июл-16, (6)

CIsco 2960 port acl, st0rk, 09:27 , 04-Июл-16, (7)

CIsco 2960 port acl, Vitls, 14:23 , 05-Июл-16, (8)

CIsco 2960 port acl, st0rk, 14:47 , 05-Июл-16, (9)

CIsco 2960 port acl, ShyLion, 06:26 , 06-Июл-16, (10)

CIsco 2960 port acl, st0rk, 10:12 , 06-Июл-16, (11)

CIsco 2960 port acl, ShyLion, 14:13 , 06-Июл-16, (12)

CIsco 2960 port acl, st0rk, 14:18 , 06-Июл-16, (13)

CIsco 2960 port acl, ShyLion, 15:44 , 06-Июл-16, (14)

CIsco 2960 port acl, ShyLion, 07:08 , 07-Июл-16, (15)

CIsco 2960 port acl, ShyLion, 07:20 , 07-Июл-16, (16)

Сообщения по теме [Сортировка по времени | RSS]

1. "CIsco 2960 port acl" +1 +/–

Сообщение от ShyLion (ok) on 30-Июн-16, 12:24

> Добрый день!
> строю access-list чтобы пропускал только определенные ip на портах, но что-то пускает
> подскажите почему не работает access-list?
Наврное потому что это _коммутатор_.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "CIsco 2960 port acl" +/–

Сообщение от StreSS.t (ok) on 30-Июн-16, 18:34

> Наврное потому что это _коммутатор_.
И более тонко ... _коммутатор_ уровня L2
По существу: лист создан, а привязывать Пушкин будет? или тут ИИ сам догадается какой лист к чему привязать?
http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst29...

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "CIsco 2960 port acl" +/–

Сообщение от Andrey (??) on 30-Июн-16, 22:39

>> Наврное потому что это _коммутатор_.
> И более тонко ... _коммутатор_ уровня L2
> По существу: лист создан, а привязывать Пушкин будет? или тут ИИ сам
> догадается какой лист к чему привязать?
> http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst29...
Да ACL привязаны. Только не к L3 интерфейсу, а к L2 интерфейсам (с 1 по 7, что ACL, что езернеты). И откуда-то взялись ACL 1-2,4-7... ну если уж привязаны к интерфейсам.
А так да - читать мануалы и задавать вопросы. Желательно до конфигурации. Особенно на боевом оборудовании. Или гонять GNS3|PacketTracer.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "CIsco 2960 port acl" +/–

Сообщение от st0rk (ok) on 01-Июл-16, 09:33

>>> Наврное потому что это _коммутатор_.
>> И более тонко ... _коммутатор_ уровня L2
>> По существу: лист создан, а привязывать Пушкин будет? или тут ИИ сам
>> догадается какой лист к чему привязать?
>> http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst29...
> Да ACL привязаны. Только не к L3 интерфейсу, а к L2 интерфейсам
> (с 1 по 7, что ACL, что езернеты). И откуда-то взялись
> ACL 1-2,4-7... ну если уж привязаны к интерфейсам.
> А так да - читать мануалы и задавать вопросы. Желательно до конфигурации.
> Особенно на боевом оборудовании. Или гонять GNS3|PacketTracer.
ACL 1-2,4-7... они тоже есть, просто сюда не приводил, чтобы меньше текста было.
каждый ACL привязан к соответствующему порту.
cisco 2960 согласно документации умеет port acl ведь.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "CIsco 2960 port acl" +/–

Сообщение от ShyLion (ok) on 01-Июл-16, 15:31

> cisco 2960 согласно документации умеет port acl ведь.
да, отстал я от жизни, LANBASE умеет, да.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "CIsco 2960 port acl" +/–

Сообщение от TechXytech on 01-Июл-16, 16:57

Все должно работать при минимальных движениях:
а)#access-list 1 permit 192.168.22.1
б)#ip access-group 1 in (интерфейс на котором будут применяться правила из списка 1)
Всё!
Вывод #sh access-lists в Extended ACL последнее правило  deny ip any any ?
Меняйте IOS, есть более свежие 12-е, и даже 15-е версии.
Возможно схема сети поможет решить проблему. Но для начала учитывайте вышенаписанное.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "CIsco 2960 port acl" +/–

Сообщение от st0rk (ok) on 04-Июл-16, 09:27

> Все должно работать при минимальных движениях:
> а)#access-list 1 permit 192.168.22.1
> б)#ip access-group 1 in (интерфейс на котором будут применяться правила из списка
> 1)
> Всё!
> Вывод #sh access-lists в Extended ACL последнее правило  deny ip any
> any ?
> Меняйте IOS, есть более свежие 12-е, и даже 15-е версии.
> Возможно схема сети поможет решить проблему. Но для начала учитывайте вышенаписанное.
должно, но не работает :(
у меня Standard ACL,
500-switch>sh access-lists
Standard IP access list 1
    280 permit 192.168.22.8
    540 permit 192.168.23.9
    290 permit 192.168.24.9
    530 permit 192.168.23.8
    300 permit 192.168.22.10
    560 permit 192.168.23.11
    310 permit 192.168.22.11
    550 permit 192.168.23.10
    320 permit 192.168.22.12
    580 permit 192.168.23.13
и т.д.
последнее правило  deny ip any any по умолчания должно быть ведь, исходя из документации.
на всякий случай ставлю и это дело, только deny ip any any не работает, с ошибкой, предлагает access-list 3 deny any использовать:
500-switch#sh access-list 3
Standard IP access list 3
    10 permit 192.168.22.8
    20 permit 192.168.22.6
    30 permit 192.168.22.7
    40 permit 192.168.22.4
    50 permit 192.168.22.5
    60 permit 192.168.22.2
    70 permit 192.168.22.3
    80 permit 192.168.22.1
    90 deny   any
схема сети:
есть корпус из 5-ти этажей, каждый этаж - подсеть 192,168,21-25.1-
все входит в эту циску, дальше идет с циски шнурок в другой роутер, который неуправляемый, оттуда в сервак и в инет.
обновить теперь циску проблемно - стоит уже в серверной, снимать не очень хочется, или обновление ios решит проблему?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "CIsco 2960 port acl" +/–

Сообщение от Vitls (??) on 05-Июл-16, 14:23

>> Все должно работать при минимальных движениях:
>> а)#access-list 1 permit 192.168.22.1
>> б)#ip access-group 1 in (интерфейс на котором будут применяться правила из списка
>> Вывод #sh access-lists в Extended ACL последнее правило  deny ip any
>> any ?
>> Возможно схема сети поможет решить проблему. Но для начала учитывайте вышенаписанное.
> должно, но не работает :(
Ибо deny ip any any - это есть расширенный ACL.

> схема сети:
Графический вариант, пожалуйста.

> обновить теперь циску проблемно - стоит уже в серверной, снимать не очень
> хочется, или обновление ios решит проблему?
Для того, чтобы обновить IOS, демонтировать железку необязательно.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "CIsco 2960 port acl" +/–

Сообщение от st0rk (ok) on 05-Июл-16, 14:47

>>> Все должно работать при минимальных движениях:
>>> а)#access-list 1 permit 192.168.22.1
>>> б)#ip access-group 1 in (интерфейс на котором будут применяться правила из списка
>>> Вывод #sh access-lists в Extended ACL последнее правило  deny ip any
>>> any ?
>>> Возможно схема сети поможет решить проблему. Но для начала учитывайте вышенаписанное.
>> должно, но не работает :(
> Ибо deny ip any any - это есть расширенный ACL.
хорошо,
interface FastEthernet0/3
ip access-group fl3 in
ip access-list extended fl3
permit ip host 192.168.22.1 any
deny ip any any
>> схема сети:
> Графический вариант, пожалуйста.
упростим задачу : к 3-му порту циски подключен 1 комп с ip 192.168.21.3, а разрешено только 192.168.22.1 (исходя из настроек выше) при этом 192.168.21.3 свободно ходит куда хочет
>> обновить теперь циску проблемно - стоит уже в серверной, снимать не очень
>> хочется, или обновление ios решит проблему?
> Для того, чтобы обновить IOS, демонтировать железку необязательно.
обязательно, если у меня только 1 системник с ком-портом, который работает в соседнем здании. И переходника com-usb в наличии нет.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "CIsco 2960 port acl" +/–

Сообщение от ShyLion (ok) on 06-Июл-16, 06:26

Кто же к цискам ногами-то ходит??? Telnet и SSH придумали очень давно.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "CIsco 2960 port acl" +/–

Сообщение от st0rk (ok) on 06-Июл-16, 10:12

> Кто же к цискам ногами-то ходит??? Telnet и SSH придумали очень давно.
ну по сериалу надежнее. ок, обновил до c2960-lanbasek9-tar.150-2.SE9 ничего не изменилось

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "CIsco 2960 port acl" +/–

Сообщение от ShyLion (ok) on 06-Июл-16, 14:13

>> Кто же к цискам ногами-то ходит??? Telnet и SSH придумали очень давно.
> ну по сериалу надежнее. ок, обновил до c2960-lanbasek9-tar.150-2.SE9 ничего не изменилось
Давай уже полный конфиг. и методику проверки.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "CIsco 2960 port acl" +/–

Сообщение от st0rk (ok) on 06-Июл-16, 14:18

>>> Кто же к цискам ногами-то ходит??? Telnet и SSH придумали очень давно.
>> ну по сериалу надежнее. ок, обновил до c2960-lanbasek9-tar.150-2.SE9 ничего не изменилось
> Давай уже полный конфиг. и методику проверки.
!
version 15.0
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname 500-switch
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$/WQ7$ARWSO5XzUqbMWq8OjOtlt0
enable password cisco
!
no aaa new-model
clock timezone EET 2 0
system mtu routing 1500
!
!
!
!
!
!
!
!
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
!
!
!
!
!
interface FastEthernet0/1
ip access-group 1 in
!
interface FastEthernet0/2
ip access-group 2 in
!
interface FastEthernet0/3
ip access-group fl3 in
!
interface FastEthernet0/4
ip access-group 4 in
!
interface FastEthernet0/5
ip access-group 5 in
!
interface FastEthernet0/6
ip access-group 6 in
!
interface FastEthernet0/7
ip access-group 7 in
!
interface FastEthernet0/8
!
interface FastEthernet0/9
!
interface FastEthernet0/10
!
interface FastEthernet0/11
!
interface FastEthernet0/12
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface FastEthernet0/15
!
interface FastEthernet0/16
!
interface FastEthernet0/17
!
interface FastEthernet0/18
!
interface FastEthernet0/19
!
interface FastEthernet0/20
!
interface FastEthernet0/21
!
interface FastEthernet0/22
!
interface FastEthernet0/23
description 258
speed 100
!
interface FastEthernet0/24
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface Vlan1
ip address 192.168.0.5 255.255.0.0
no ip route-cache
!
ip default-gateway 192.168.0.7
ip http server
ip http secure-server
!
ip access-list extended fl3
permit ip host 192.168.22.1 any
deny   ip any any
access-list 1 permit 192.168.32.8
access-list 1 permit 192.168.33.9
access-list 1 permit 192.168.32.9
access-list 1 permit 192.168.33.8
access-list 1 permit 192.168.32.10
access-list 1 permit 192.168.33.11
access-list 1 permit 192.168.32.11
access-list 1 permit 192.168.33.10
access-list 1 permit 192.168.32.12
access-list 1 permit 192.168.33.13
access-list 1 permit 192.168.32.13
access-list 1 permit 192.168.33.12
access-list 1 permit 192.168.32.14
access-list 1 permit 192.168.33.15
access-list 1 permit 192.168.32.15
access-list 1 permit 192.168.33.14
access-list 1 permit 192.168.33.1
access-list 1 permit 192.168.32.1
access-list 1 permit 192.168.32.2
access-list 1 permit 192.168.33.3
access-list 1 permit 192.168.32.3
access-list 1 permit 192.168.33.2
access-list 1 permit 192.168.32.4
access-list 1 permit 192.168.33.5
access-list 1 permit 192.168.32.5
access-list 1 permit 192.168.33.4
access-list 1 permit 192.168.32.6
access-list 1 permit 192.168.33.7
access-list 1 permit 192.168.32.7
access-list 1 permit 192.168.33.6
access-list 1 permit 192.168.32.24
access-list 1 permit 192.168.33.25
access-list 1 permit 192.168.32.25
access-list 1 permit 192.168.33.24
access-list 1 permit 192.168.33.27
access-list 1 permit 192.168.33.26
access-list 1 permit 192.168.33.29
access-list 1 permit 192.168.33.28
access-list 1 permit 192.168.33.30
access-list 1 permit 192.168.32.16
access-list 1 permit 192.168.33.17
access-list 1 permit 192.168.32.17
access-list 1 permit 192.168.33.16
access-list 1 permit 192.168.32.18
access-list 1 permit 192.168.33.19
access-list 1 permit 192.168.32.19
access-list 1 permit 192.168.33.18
access-list 1 permit 192.168.32.20
access-list 1 permit 192.168.33.21
access-list 1 permit 192.168.32.21
access-list 1 permit 192.168.33.20
access-list 1 permit 192.168.32.22
access-list 1 permit 192.168.33.23
access-list 1 permit 192.168.32.23
access-list 1 permit 192.168.33.22
access-list 1 permit 192.168.31.20
access-list 1 permit 192.168.31.19
access-list 1 permit 192.168.31.18
access-list 1 permit 192.168.31.17
access-list 1 permit 192.168.31.16
access-list 1 permit 192.168.31.7
access-list 1 permit 192.168.31.6
access-list 1 permit 192.168.31.5
access-list 1 permit 192.168.31.4
access-list 1 permit 192.168.31.3
access-list 1 permit 192.168.31.2
access-list 1 permit 192.168.31.1
access-list 1 permit 192.168.31.15
access-list 1 permit 192.168.31.14
access-list 1 permit 192.168.31.13
access-list 1 permit 192.168.31.12
access-list 1 permit 192.168.31.11
access-list 1 permit 192.168.31.10
access-list 1 permit 192.168.31.9
access-list 1 permit 192.168.31.8
access-list 2 permit 192.168.21.20
access-list 2 permit 192.168.21.17
access-list 2 permit 192.168.21.16
access-list 2 permit 192.168.21.19
access-list 2 permit 192.168.21.18
access-list 2 permit 192.168.21.13
access-list 2 permit 192.168.21.12
access-list 2 permit 192.168.21.15
access-list 2 permit 192.168.21.14
access-list 2 permit 192.168.21.9
access-list 2 permit 192.168.21.8
access-list 2 permit 192.168.21.11
access-list 2 permit 192.168.21.10
access-list 2 permit 192.168.21.5
access-list 2 permit 192.168.21.4
access-list 2 permit 192.168.21.7
access-list 2 permit 192.168.21.6
access-list 2 permit 192.168.21.1
access-list 2 permit 192.168.21.3
access-list 2 permit 192.168.21.2
access-list 3 permit 192.168.22.8
access-list 3 permit 192.168.22.6
access-list 3 permit 192.168.22.7
access-list 3 permit 192.168.22.4
access-list 3 permit 192.168.22.5
access-list 3 permit 192.168.22.2
access-list 3 permit 192.168.22.3
access-list 3 permit 192.168.22.1
access-list 3 deny   any
access-list 4 permit 192.168.23.30
access-list 4 permit 192.168.23.29
access-list 4 permit 192.168.23.28
access-list 4 permit 192.168.23.27
access-list 4 permit 192.168.23.26
access-list 4 permit 192.168.23.25
access-list 4 permit 192.168.23.24
access-list 4 permit 192.168.23.23
access-list 4 permit 192.168.23.22
access-list 4 permit 192.168.23.21
access-list 4 permit 192.168.23.20
access-list 4 permit 192.168.23.19
access-list 4 permit 192.168.23.18
access-list 4 permit 192.168.23.17
access-list 4 permit 192.168.23.16
access-list 4 permit 192.168.23.15
access-list 4 permit 192.168.23.14
access-list 4 permit 192.168.23.13
access-list 4 permit 192.168.23.12
access-list 4 permit 192.168.23.11
access-list 4 permit 192.168.23.10
access-list 4 permit 192.168.23.9
access-list 4 permit 192.168.23.8
access-list 4 permit 192.168.23.7
access-list 4 permit 192.168.23.6
access-list 4 permit 192.168.23.5
access-list 4 permit 192.168.23.4
access-list 4 permit 192.168.23.3
access-list 4 permit 192.168.23.2
access-list 4 permit 192.168.23.1
access-list 5 permit 192.168.24.1
access-list 5 permit 192.168.24.2
access-list 5 permit 192.168.24.3
access-list 5 permit 192.168.24.4
access-list 5 permit 192.168.24.5
access-list 5 permit 192.168.24.6
access-list 5 permit 192.168.24.7
access-list 5 permit 192.168.24.8
access-list 5 permit 192.168.24.9
access-list 5 permit 192.168.24.10
access-list 5 permit 192.168.24.11
access-list 5 permit 192.168.24.12
access-list 5 permit 192.168.24.13
access-list 5 permit 192.168.24.14
access-list 5 permit 192.168.24.15
access-list 6 permit 192.168.25.1
access-list 6 permit 192.168.25.3
access-list 6 permit 192.168.25.2
access-list 6 permit 192.168.25.5
access-list 6 permit 192.168.25.4
access-list 6 permit 192.168.25.7
access-list 6 permit 192.168.25.6
access-list 6 permit 192.168.25.9
access-list 6 permit 192.168.25.8
access-list 6 permit 192.168.25.11
access-list 6 permit 192.168.25.10
access-list 6 permit 192.168.25.13
access-list 6 permit 192.168.25.12
access-list 6 permit 192.168.25.15
access-list 6 permit 192.168.25.14
access-list 7 permit 192.168.12.36
access-list 7 permit 192.168.12.37
access-list 7 permit 192.168.12.38
access-list 7 permit 192.168.12.39
access-list 7 permit 192.168.12.32
access-list 7 permit 192.168.12.33
access-list 7 permit 192.168.12.34
access-list 7 permit 192.168.12.35
access-list 7 permit 192.168.12.44
access-list 7 permit 192.168.12.45
access-list 7 permit 192.168.12.46
access-list 7 permit 192.168.12.47
access-list 7 permit 192.168.12.40
access-list 7 permit 192.168.12.41
access-list 7 permit 192.168.12.42
access-list 7 permit 192.168.12.43
access-list 7 permit 192.168.12.48
access-list 7 permit 192.168.12.49
access-list 7 permit 192.168.12.50
access-list 7 permit 192.168.11.3
access-list 7 permit 192.168.12.4
access-list 7 permit 192.168.11.2
access-list 7 permit 192.168.12.5
access-list 7 permit 192.168.11.1
access-list 7 permit 192.168.12.6
access-list 7 permit 192.168.12.7
access-list 7 permit 192.168.11.7
access-list 7 permit 192.168.11.6
access-list 7 permit 192.168.12.1
access-list 7 permit 192.168.11.5
access-list 7 permit 192.168.12.2
access-list 7 permit 192.168.11.4
access-list 7 permit 192.168.12.3
access-list 7 permit 192.168.11.11
access-list 7 permit 192.168.12.12
access-list 7 permit 192.168.11.10
access-list 7 permit 192.168.12.13
access-list 7 permit 192.168.11.9
access-list 7 permit 192.168.12.14
access-list 7 permit 192.168.11.8
access-list 7 permit 192.168.12.15
access-list 7 permit 192.168.11.15
access-list 7 permit 192.168.12.8
access-list 7 permit 192.168.11.14
access-list 7 permit 192.168.12.9
access-list 7 permit 192.168.11.13
access-list 7 permit 192.168.12.10
access-list 7 permit 192.168.11.12
access-list 7 permit 192.168.12.11
access-list 7 permit 192.168.11.19
access-list 7 permit 192.168.12.20
access-list 7 permit 192.168.11.18
access-list 7 permit 192.168.12.21
access-list 7 permit 192.168.11.17
access-list 7 permit 192.168.12.22
access-list 7 permit 192.168.11.16
access-list 7 permit 192.168.12.23
access-list 7 permit 192.168.11.23
access-list 7 permit 192.168.12.16
access-list 7 permit 192.168.11.22
access-list 7 permit 192.168.12.17
access-list 7 permit 192.168.11.21
access-list 7 permit 192.168.12.18
access-list 7 permit 192.168.11.20
access-list 7 permit 192.168.12.19
access-list 7 permit 192.168.11.27
access-list 7 permit 192.168.12.28
access-list 7 permit 192.168.11.26
access-list 7 permit 192.168.12.29
access-list 7 permit 192.168.11.25
access-list 7 permit 192.168.12.30
access-list 7 permit 192.168.11.24
access-list 7 permit 192.168.12.31
access-list 7 permit 192.168.12.24
access-list 7 permit 192.168.11.30
access-list 7 permit 192.168.12.25
access-list 7 permit 192.168.11.29
access-list 7 permit 192.168.12.26
access-list 7 permit 192.168.11.28
access-list 7 permit 192.168.12.27
access-list 7 deny   any
!
!
line con 0
line vty 0 4
password password
login
line vty 5 15
login
!
end
проверка - тыкаюсь в 3 порт циски компом с ip 192.168.55.55 - хожу куда хочу, а должен ходить только с ip 192.168.22.1

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "CIsco 2960 port acl" +/–

Сообщение от ShyLion (ok) on 06-Июл-16, 15:44

Завтра проверю на точно таком-же свиче у себя. На 3560 все работает, но они поумнее.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "CIsco 2960 port acl" +/–

Сообщение от ShyLion (ok) on 07-Июл-16, 07:08

> Завтра проверю на точно таком-же свиче у себя. На 3560 все работает,
> но они поумнее.
Проверил. Все работает.

#show ver
Cisco IOS Software, C2960 Software (C2960-LANBASEK9-M), Version 12.2(55)SE5, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2012 by Cisco Systems, Inc.
Compiled Thu 09-Feb-12 19:11 by prod_rel_team
Image text-base: 0x00003000, data-base: 0x01900000
ROM: Bootstrap program is C2960 boot loader
BOOTLDR: C2960 Boot Loader (C2960-HBOOT-M) Version 12.2(53r)SEY3, RELEASE SOFTWARE (fc1)
sw-uti-omts24t05 uptime is 18 weeks, 2 days, 20 hours, 1 minute
System returned to ROM by power-on
System restarted at 14:01:49 TYM Mon Feb 29 2016
System image file is "flash:/c2960-lanbasek9-mz.122-55.SE5/c2960-lanbasek9-mz.122-55.SE5.bin"

This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.
A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
If you require further assistance please contact us by sending email to
export@cisco.com.
cisco WS-C2960-24TT-L (PowerPC405) processor (revision R0) with 65536K bytes of memory.
Processor board ID FCQ1642Y27H
Last reset from power-on
2 Virtual Ethernet interfaces
24 FastEthernet interfaces
2 Gigabit Ethernet interfaces
The password-recovery mechanism is enabled.
64K bytes of flash-simulated non-volatile configuration memory.
Base ethernet MAC Address       : xxxx
Motherboard assembly number     : 73-12600-06
Power supply part number        : 341-0097-03
Motherboard serial number       : xxx
Power supply serial number      : xxx
Model revision number           : R0
Motherboard revision number     : A0
Model number                    : WS-C2960-24TT-L
System serial number            : xxx
Top Assembly Part Number        : 800-32797-02
Top Assembly Revision Number    : A0
Version ID                      : V11
CLEI Code Number                : xxx
Hardware Board Revision Number  : 0x0A

Switch Ports Model              SW Version            SW Image
------ ----- -----              ----------            ----------
*    1 26    WS-C2960-24TT-L    12.2(55)SE5           C2960-LANBASEK9-M

Configuration register is 0xF

sw-uti-omts24t05(config)#ip access-list ext f06
sw-uti-omts24t05(config-ext-nacl)#deny ip any host 10.96.97.82
sw-uti-omts24t05(config-ext-nacl)#permit ip any any
sw-uti-omts24t05(config-ext-nacl)#exit
sw-uti-omts24t05(config)#int
sw-uti-omts24t05(config)#interface f0/6
sw-uti-omts24t05(config-if)#ip access-group f06 in
Как только назначаешь лист, связь хоста на порту с 10.96.97.82 прекращается, убираешь - возобновляется.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "CIsco 2960 port acl" +/–

Сообщение от ShyLion (ok) on 07-Июл-16, 07:20

в порядке бреда - попробуй принудительно access режим на порту выставить:
switchport mode access
switchport nonegotiate

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "CIsco 2960 port acl"	+1 +/–
Сообщение от ShyLion (ok) on 30-Июн-16, 12:24
> Добрый день! > строю access-list чтобы пропускал только определенные ip на портах, но что-то пускает > подскажите почему не работает access-list? Наврное потому что это _коммутатор_.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "CIsco 2960 port acl"	+/–
	Сообщение от StreSS.t (ok) on 30-Июн-16, 18:34
	> Наврное потому что это _коммутатор_. И более тонко ... _коммутатор_ уровня L2 По существу: лист создан, а привязывать Пушкин будет? или тут ИИ сам догадается какой лист к чему привязать? http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst29...
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "CIsco 2960 port acl"	+/–
	Сообщение от Andrey (??) on 30-Июн-16, 22:39
	>> Наврное потому что это _коммутатор_. > И более тонко ... _коммутатор_ уровня L2 > По существу: лист создан, а привязывать Пушкин будет? или тут ИИ сам > догадается какой лист к чему привязать? > http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst29... Да ACL привязаны. Только не к L3 интерфейсу, а к L2 интерфейсам (с 1 по 7, что ACL, что езернеты). И откуда-то взялись ACL 1-2,4-7... ну если уж привязаны к интерфейсам. А так да - читать мануалы и задавать вопросы. Желательно до конфигурации. Особенно на боевом оборудовании. Или гонять GNS3\|PacketTracer.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "CIsco 2960 port acl"	+/–
	Сообщение от st0rk (ok) on 01-Июл-16, 09:33
	>>> Наврное потому что это _коммутатор_. >> И более тонко ... _коммутатор_ уровня L2 >> По существу: лист создан, а привязывать Пушкин будет? или тут ИИ сам >> догадается какой лист к чему привязать? >> http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst29... > Да ACL привязаны. Только не к L3 интерфейсу, а к L2 интерфейсам > (с 1 по 7, что ACL, что езернеты). И откуда-то взялись > ACL 1-2,4-7... ну если уж привязаны к интерфейсам. > А так да - читать мануалы и задавать вопросы. Желательно до конфигурации. > Особенно на боевом оборудовании. Или гонять GNS3\|PacketTracer. ACL 1-2,4-7... они тоже есть, просто сюда не приводил, чтобы меньше текста было. каждый ACL привязан к соответствующему порту. cisco 2960 согласно документации умеет port acl ведь.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "CIsco 2960 port acl"	+/–
	Сообщение от ShyLion (ok) on 01-Июл-16, 15:31
	> cisco 2960 согласно документации умеет port acl ведь. да, отстал я от жизни, LANBASE умеет, да.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору

6. "CIsco 2960 port acl"	+/–
Сообщение от TechXytech on 01-Июл-16, 16:57
Все должно работать при минимальных движениях: а)#access-list 1 permit 192.168.22.1 б)#ip access-group 1 in (интерфейс на котором будут применяться правила из списка 1) Всё! Вывод #sh access-lists в Extended ACL последнее правило deny ip any any ? Меняйте IOS, есть более свежие 12-е, и даже 15-е версии. Возможно схема сети поможет решить проблему. Но для начала учитывайте вышенаписанное.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	7. "CIsco 2960 port acl"	+/–
	Сообщение от st0rk (ok) on 04-Июл-16, 09:27
	> Все должно работать при минимальных движениях: > а)#access-list 1 permit 192.168.22.1 > б)#ip access-group 1 in (интерфейс на котором будут применяться правила из списка > 1) > Всё! > Вывод #sh access-lists в Extended ACL последнее правило deny ip any > any ? > Меняйте IOS, есть более свежие 12-е, и даже 15-е версии. > Возможно схема сети поможет решить проблему. Но для начала учитывайте вышенаписанное. должно, но не работает :( у меня Standard ACL, 500-switch>sh access-lists Standard IP access list 1 280 permit 192.168.22.8 540 permit 192.168.23.9 290 permit 192.168.24.9 530 permit 192.168.23.8 300 permit 192.168.22.10 560 permit 192.168.23.11 310 permit 192.168.22.11 550 permit 192.168.23.10 320 permit 192.168.22.12 580 permit 192.168.23.13 и т.д. последнее правило deny ip any any по умолчания должно быть ведь, исходя из документации. на всякий случай ставлю и это дело, только deny ip any any не работает, с ошибкой, предлагает access-list 3 deny any использовать: 500-switch#sh access-list 3 Standard IP access list 3 10 permit 192.168.22.8 20 permit 192.168.22.6 30 permit 192.168.22.7 40 permit 192.168.22.4 50 permit 192.168.22.5 60 permit 192.168.22.2 70 permit 192.168.22.3 80 permit 192.168.22.1 90 deny any схема сети: есть корпус из 5-ти этажей, каждый этаж - подсеть 192,168,21-25.1- все входит в эту циску, дальше идет с циски шнурок в другой роутер, который неуправляемый, оттуда в сервак и в инет. обновить теперь циску проблемно - стоит уже в серверной, снимать не очень хочется, или обновление ios решит проблему?
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "CIsco 2960 port acl"	+/–
	Сообщение от Vitls (??) on 05-Июл-16, 14:23
	>> Все должно работать при минимальных движениях: >> а)#access-list 1 permit 192.168.22.1 >> б)#ip access-group 1 in (интерфейс на котором будут применяться правила из списка >> Вывод #sh access-lists в Extended ACL последнее правило deny ip any >> any ? >> Возможно схема сети поможет решить проблему. Но для начала учитывайте вышенаписанное. > должно, но не работает :( Ибо deny ip any any - это есть расширенный ACL. > схема сети: Графический вариант, пожалуйста. > обновить теперь циску проблемно - стоит уже в серверной, снимать не очень > хочется, или обновление ios решит проблему? Для того, чтобы обновить IOS, демонтировать железку необязательно.
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "CIsco 2960 port acl"	+/–
	Сообщение от st0rk (ok) on 05-Июл-16, 14:47
	>>> Все должно работать при минимальных движениях: >>> а)#access-list 1 permit 192.168.22.1 >>> б)#ip access-group 1 in (интерфейс на котором будут применяться правила из списка >>> Вывод #sh access-lists в Extended ACL последнее правило deny ip any >>> any ? >>> Возможно схема сети поможет решить проблему. Но для начала учитывайте вышенаписанное. >> должно, но не работает :( > Ибо deny ip any any - это есть расширенный ACL. хорошо, interface FastEthernet0/3 ip access-group fl3 in ip access-list extended fl3 permit ip host 192.168.22.1 any deny ip any any >> схема сети: > Графический вариант, пожалуйста. упростим задачу : к 3-му порту циски подключен 1 комп с ip 192.168.21.3, а разрешено только 192.168.22.1 (исходя из настроек выше) при этом 192.168.21.3 свободно ходит куда хочет >> обновить теперь циску проблемно - стоит уже в серверной, снимать не очень >> хочется, или обновление ios решит проблему? > Для того, чтобы обновить IOS, демонтировать железку необязательно. обязательно, если у меня только 1 системник с ком-портом, который работает в соседнем здании. И переходника com-usb в наличии нет.
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	10. "CIsco 2960 port acl"	+/–
	Сообщение от ShyLion (ok) on 06-Июл-16, 06:26
	Кто же к цискам ногами-то ходит??? Telnet и SSH придумали очень давно.
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	11. "CIsco 2960 port acl"	+/–
	Сообщение от st0rk (ok) on 06-Июл-16, 10:12
	> Кто же к цискам ногами-то ходит??? Telnet и SSH придумали очень давно. ну по сериалу надежнее. ок, обновил до c2960-lanbasek9-tar.150-2.SE9 ничего не изменилось
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	12. "CIsco 2960 port acl"	+/–
	Сообщение от ShyLion (ok) on 06-Июл-16, 14:13
	>> Кто же к цискам ногами-то ходит??? Telnet и SSH придумали очень давно. > ну по сериалу надежнее. ок, обновил до c2960-lanbasek9-tar.150-2.SE9 ничего не изменилось Давай уже полный конфиг. и методику проверки.
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	13. "CIsco 2960 port acl"	+/–
	Сообщение от st0rk (ok) on 06-Июл-16, 14:18
	>>> Кто же к цискам ногами-то ходит??? Telnet и SSH придумали очень давно. >> ну по сериалу надежнее. ок, обновил до c2960-lanbasek9-tar.150-2.SE9 ничего не изменилось > Давай уже полный конфиг. и методику проверки. ! version 15.0 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname 500-switch ! boot-start-marker boot-end-marker ! enable secret 5 $1$/WQ7$ARWSO5XzUqbMWq8OjOtlt0 enable password cisco ! no aaa new-model clock timezone EET 2 0 system mtu routing 1500 ! ! ! ! ! ! ! ! ! ! spanning-tree mode pvst spanning-tree extend system-id ! vlan internal allocation policy ascending ! ! ! ! ! ! interface FastEthernet0/1 ip access-group 1 in ! interface FastEthernet0/2 ip access-group 2 in ! interface FastEthernet0/3 ip access-group fl3 in ! interface FastEthernet0/4 ip access-group 4 in ! interface FastEthernet0/5 ip access-group 5 in ! interface FastEthernet0/6 ip access-group 6 in ! interface FastEthernet0/7 ip access-group 7 in ! interface FastEthernet0/8 ! interface FastEthernet0/9 ! interface FastEthernet0/10 ! interface FastEthernet0/11 ! interface FastEthernet0/12 ! interface FastEthernet0/13 ! interface FastEthernet0/14 ! interface FastEthernet0/15 ! interface FastEthernet0/16 ! interface FastEthernet0/17 ! interface FastEthernet0/18 ! interface FastEthernet0/19 ! interface FastEthernet0/20 ! interface FastEthernet0/21 ! interface FastEthernet0/22 ! interface FastEthernet0/23 description 258 speed 100 ! interface FastEthernet0/24 ! interface GigabitEthernet0/1 ! interface GigabitEthernet0/2 ! interface Vlan1 ip address 192.168.0.5 255.255.0.0 no ip route-cache ! ip default-gateway 192.168.0.7 ip http server ip http secure-server ! ip access-list extended fl3 permit ip host 192.168.22.1 any deny ip any any access-list 1 permit 192.168.32.8 access-list 1 permit 192.168.33.9 access-list 1 permit 192.168.32.9 access-list 1 permit 192.168.33.8 access-list 1 permit 192.168.32.10 access-list 1 permit 192.168.33.11 access-list 1 permit 192.168.32.11 access-list 1 permit 192.168.33.10 access-list 1 permit 192.168.32.12 access-list 1 permit 192.168.33.13 access-list 1 permit 192.168.32.13 access-list 1 permit 192.168.33.12 access-list 1 permit 192.168.32.14 access-list 1 permit 192.168.33.15 access-list 1 permit 192.168.32.15 access-list 1 permit 192.168.33.14 access-list 1 permit 192.168.33.1 access-list 1 permit 192.168.32.1 access-list 1 permit 192.168.32.2 access-list 1 permit 192.168.33.3 access-list 1 permit 192.168.32.3 access-list 1 permit 192.168.33.2 access-list 1 permit 192.168.32.4 access-list 1 permit 192.168.33.5 access-list 1 permit 192.168.32.5 access-list 1 permit 192.168.33.4 access-list 1 permit 192.168.32.6 access-list 1 permit 192.168.33.7 access-list 1 permit 192.168.32.7 access-list 1 permit 192.168.33.6 access-list 1 permit 192.168.32.24 access-list 1 permit 192.168.33.25 access-list 1 permit 192.168.32.25 access-list 1 permit 192.168.33.24 access-list 1 permit 192.168.33.27 access-list 1 permit 192.168.33.26 access-list 1 permit 192.168.33.29 access-list 1 permit 192.168.33.28 access-list 1 permit 192.168.33.30 access-list 1 permit 192.168.32.16 access-list 1 permit 192.168.33.17 access-list 1 permit 192.168.32.17 access-list 1 permit 192.168.33.16 access-list 1 permit 192.168.32.18 access-list 1 permit 192.168.33.19 access-list 1 permit 192.168.32.19 access-list 1 permit 192.168.33.18 access-list 1 permit 192.168.32.20 access-list 1 permit 192.168.33.21 access-list 1 permit 192.168.32.21 access-list 1 permit 192.168.33.20 access-list 1 permit 192.168.32.22 access-list 1 permit 192.168.33.23 access-list 1 permit 192.168.32.23 access-list 1 permit 192.168.33.22 access-list 1 permit 192.168.31.20 access-list 1 permit 192.168.31.19 access-list 1 permit 192.168.31.18 access-list 1 permit 192.168.31.17 access-list 1 permit 192.168.31.16 access-list 1 permit 192.168.31.7 access-list 1 permit 192.168.31.6 access-list 1 permit 192.168.31.5 access-list 1 permit 192.168.31.4 access-list 1 permit 192.168.31.3 access-list 1 permit 192.168.31.2 access-list 1 permit 192.168.31.1 access-list 1 permit 192.168.31.15 access-list 1 permit 192.168.31.14 access-list 1 permit 192.168.31.13 access-list 1 permit 192.168.31.12 access-list 1 permit 192.168.31.11 access-list 1 permit 192.168.31.10 access-list 1 permit 192.168.31.9 access-list 1 permit 192.168.31.8 access-list 2 permit 192.168.21.20 access-list 2 permit 192.168.21.17 access-list 2 permit 192.168.21.16 access-list 2 permit 192.168.21.19 access-list 2 permit 192.168.21.18 access-list 2 permit 192.168.21.13 access-list 2 permit 192.168.21.12 access-list 2 permit 192.168.21.15 access-list 2 permit 192.168.21.14 access-list 2 permit 192.168.21.9 access-list 2 permit 192.168.21.8 access-list 2 permit 192.168.21.11 access-list 2 permit 192.168.21.10 access-list 2 permit 192.168.21.5 access-list 2 permit 192.168.21.4 access-list 2 permit 192.168.21.7 access-list 2 permit 192.168.21.6 access-list 2 permit 192.168.21.1 access-list 2 permit 192.168.21.3 access-list 2 permit 192.168.21.2 access-list 3 permit 192.168.22.8 access-list 3 permit 192.168.22.6 access-list 3 permit 192.168.22.7 access-list 3 permit 192.168.22.4 access-list 3 permit 192.168.22.5 access-list 3 permit 192.168.22.2 access-list 3 permit 192.168.22.3 access-list 3 permit 192.168.22.1 access-list 3 deny any access-list 4 permit 192.168.23.30 access-list 4 permit 192.168.23.29 access-list 4 permit 192.168.23.28 access-list 4 permit 192.168.23.27 access-list 4 permit 192.168.23.26 access-list 4 permit 192.168.23.25 access-list 4 permit 192.168.23.24 access-list 4 permit 192.168.23.23 access-list 4 permit 192.168.23.22 access-list 4 permit 192.168.23.21 access-list 4 permit 192.168.23.20 access-list 4 permit 192.168.23.19 access-list 4 permit 192.168.23.18 access-list 4 permit 192.168.23.17 access-list 4 permit 192.168.23.16 access-list 4 permit 192.168.23.15 access-list 4 permit 192.168.23.14 access-list 4 permit 192.168.23.13 access-list 4 permit 192.168.23.12 access-list 4 permit 192.168.23.11 access-list 4 permit 192.168.23.10 access-list 4 permit 192.168.23.9 access-list 4 permit 192.168.23.8 access-list 4 permit 192.168.23.7 access-list 4 permit 192.168.23.6 access-list 4 permit 192.168.23.5 access-list 4 permit 192.168.23.4 access-list 4 permit 192.168.23.3 access-list 4 permit 192.168.23.2 access-list 4 permit 192.168.23.1 access-list 5 permit 192.168.24.1 access-list 5 permit 192.168.24.2 access-list 5 permit 192.168.24.3 access-list 5 permit 192.168.24.4 access-list 5 permit 192.168.24.5 access-list 5 permit 192.168.24.6 access-list 5 permit 192.168.24.7 access-list 5 permit 192.168.24.8 access-list 5 permit 192.168.24.9 access-list 5 permit 192.168.24.10 access-list 5 permit 192.168.24.11 access-list 5 permit 192.168.24.12 access-list 5 permit 192.168.24.13 access-list 5 permit 192.168.24.14 access-list 5 permit 192.168.24.15 access-list 6 permit 192.168.25.1 access-list 6 permit 192.168.25.3 access-list 6 permit 192.168.25.2 access-list 6 permit 192.168.25.5 access-list 6 permit 192.168.25.4 access-list 6 permit 192.168.25.7 access-list 6 permit 192.168.25.6 access-list 6 permit 192.168.25.9 access-list 6 permit 192.168.25.8 access-list 6 permit 192.168.25.11 access-list 6 permit 192.168.25.10 access-list 6 permit 192.168.25.13 access-list 6 permit 192.168.25.12 access-list 6 permit 192.168.25.15 access-list 6 permit 192.168.25.14 access-list 7 permit 192.168.12.36 access-list 7 permit 192.168.12.37 access-list 7 permit 192.168.12.38 access-list 7 permit 192.168.12.39 access-list 7 permit 192.168.12.32 access-list 7 permit 192.168.12.33 access-list 7 permit 192.168.12.34 access-list 7 permit 192.168.12.35 access-list 7 permit 192.168.12.44 access-list 7 permit 192.168.12.45 access-list 7 permit 192.168.12.46 access-list 7 permit 192.168.12.47 access-list 7 permit 192.168.12.40 access-list 7 permit 192.168.12.41 access-list 7 permit 192.168.12.42 access-list 7 permit 192.168.12.43 access-list 7 permit 192.168.12.48 access-list 7 permit 192.168.12.49 access-list 7 permit 192.168.12.50 access-list 7 permit 192.168.11.3 access-list 7 permit 192.168.12.4 access-list 7 permit 192.168.11.2 access-list 7 permit 192.168.12.5 access-list 7 permit 192.168.11.1 access-list 7 permit 192.168.12.6 access-list 7 permit 192.168.12.7 access-list 7 permit 192.168.11.7 access-list 7 permit 192.168.11.6 access-list 7 permit 192.168.12.1 access-list 7 permit 192.168.11.5 access-list 7 permit 192.168.12.2 access-list 7 permit 192.168.11.4 access-list 7 permit 192.168.12.3 access-list 7 permit 192.168.11.11 access-list 7 permit 192.168.12.12 access-list 7 permit 192.168.11.10 access-list 7 permit 192.168.12.13 access-list 7 permit 192.168.11.9 access-list 7 permit 192.168.12.14 access-list 7 permit 192.168.11.8 access-list 7 permit 192.168.12.15 access-list 7 permit 192.168.11.15 access-list 7 permit 192.168.12.8 access-list 7 permit 192.168.11.14 access-list 7 permit 192.168.12.9 access-list 7 permit 192.168.11.13 access-list 7 permit 192.168.12.10 access-list 7 permit 192.168.11.12 access-list 7 permit 192.168.12.11 access-list 7 permit 192.168.11.19 access-list 7 permit 192.168.12.20 access-list 7 permit 192.168.11.18 access-list 7 permit 192.168.12.21 access-list 7 permit 192.168.11.17 access-list 7 permit 192.168.12.22 access-list 7 permit 192.168.11.16 access-list 7 permit 192.168.12.23 access-list 7 permit 192.168.11.23 access-list 7 permit 192.168.12.16 access-list 7 permit 192.168.11.22 access-list 7 permit 192.168.12.17 access-list 7 permit 192.168.11.21 access-list 7 permit 192.168.12.18 access-list 7 permit 192.168.11.20 access-list 7 permit 192.168.12.19 access-list 7 permit 192.168.11.27 access-list 7 permit 192.168.12.28 access-list 7 permit 192.168.11.26 access-list 7 permit 192.168.12.29 access-list 7 permit 192.168.11.25 access-list 7 permit 192.168.12.30 access-list 7 permit 192.168.11.24 access-list 7 permit 192.168.12.31 access-list 7 permit 192.168.12.24 access-list 7 permit 192.168.11.30 access-list 7 permit 192.168.12.25 access-list 7 permit 192.168.11.29 access-list 7 permit 192.168.12.26 access-list 7 permit 192.168.11.28 access-list 7 permit 192.168.12.27 access-list 7 deny any ! ! line con 0 line vty 0 4 password password login line vty 5 15 login ! end проверка - тыкаюсь в 3 порт циски компом с ip 192.168.55.55 - хожу куда хочу, а должен ходить только с ip 192.168.22.1
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	14. "CIsco 2960 port acl"	+/–
	Сообщение от ShyLion (ok) on 06-Июл-16, 15:44
	Завтра проверю на точно таком-же свиче у себя. На 3560 все работает, но они поумнее.
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	15. "CIsco 2960 port acl"	+/–
	Сообщение от ShyLion (ok) on 07-Июл-16, 07:08
	> Завтра проверю на точно таком-же свиче у себя. На 3560 все работает, > но они поумнее. Проверил. Все работает. #show ver Cisco IOS Software, C2960 Software (C2960-LANBASEK9-M), Version 12.2(55)SE5, RELEASE SOFTWARE (fc1) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2012 by Cisco Systems, Inc. Compiled Thu 09-Feb-12 19:11 by prod_rel_team Image text-base: 0x00003000, data-base: 0x01900000 ROM: Bootstrap program is C2960 boot loader BOOTLDR: C2960 Boot Loader (C2960-HBOOT-M) Version 12.2(53r)SEY3, RELEASE SOFTWARE (fc1) sw-uti-omts24t05 uptime is 18 weeks, 2 days, 20 hours, 1 minute System returned to ROM by power-on System restarted at 14:01:49 TYM Mon Feb 29 2016 System image file is "flash:/c2960-lanbasek9-mz.122-55.SE5/c2960-lanbasek9-mz.122-55.SE5.bin" This product contains cryptographic features and is subject to United States and local country laws governing import, export, transfer and use. Delivery of Cisco cryptographic products does not imply third-party authority to import, export, distribute or use encryption. Importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and regulations. If you are unable to comply with U.S. and local laws, return this product immediately. A summary of U.S. laws governing Cisco cryptographic products may be found at: http://www.cisco.com/wwl/export/crypto/tool/stqrg.html If you require further assistance please contact us by sending email to export@cisco.com. cisco WS-C2960-24TT-L (PowerPC405) processor (revision R0) with 65536K bytes of memory. Processor board ID FCQ1642Y27H Last reset from power-on 2 Virtual Ethernet interfaces 24 FastEthernet interfaces 2 Gigabit Ethernet interfaces The password-recovery mechanism is enabled. 64K bytes of flash-simulated non-volatile configuration memory. Base ethernet MAC Address : xxxx Motherboard assembly number : 73-12600-06 Power supply part number : 341-0097-03 Motherboard serial number : xxx Power supply serial number : xxx Model revision number : R0 Motherboard revision number : A0 Model number : WS-C2960-24TT-L System serial number : xxx Top Assembly Part Number : 800-32797-02 Top Assembly Revision Number : A0 Version ID : V11 CLEI Code Number : xxx Hardware Board Revision Number : 0x0A Switch Ports Model SW Version SW Image ------ ----- ----- ---------- ---------- * 1 26 WS-C2960-24TT-L 12.2(55)SE5 C2960-LANBASEK9-M Configuration register is 0xF sw-uti-omts24t05(config)#ip access-list ext f06 sw-uti-omts24t05(config-ext-nacl)#deny ip any host 10.96.97.82 sw-uti-omts24t05(config-ext-nacl)#permit ip any any sw-uti-omts24t05(config-ext-nacl)#exit sw-uti-omts24t05(config)#int sw-uti-omts24t05(config)#interface f0/6 sw-uti-omts24t05(config-if)#ip access-group f06 in Как только назначаешь лист, связь хоста на порту с 10.96.97.82 прекращается, убираешь - возобновляется.
	Ответить \| Правка \| ^ к родителю #14 \| Наверх \| Cообщить модератору


	16. "CIsco 2960 port acl"	+/–
	Сообщение от ShyLion (ok) on 07-Июл-16, 07:20
	в порядке бреда - попробуй принудительно access режим на порту выставить: switchport mode access switchport nonegotiate
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору