The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"CIsco 2960 port acl"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение [ Отслеживать ]

"CIsco 2960 port acl"  +/
Сообщение от st0rk email on 30-Июн-16, 09:31 
Добрый день!
строю access-list чтобы пропускал только определенные ip на портах, но что-то пускает все подряд.
Итак по порядку:

500-switch>show ver
Cisco IOS Software, C2960 Software (C2960-LANBASE-M), Version 12.2(35)SE5, RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2007 by Cisco Systems, Inc.
Compiled Thu 19-Jul-07 20:06 by nachen
Image text-base: 0x00003000, data-base: 0x00D40000

ROM: Bootstrap program is C2960 boot loader
BOOTLDR: C2960 Boot Loader (C2960-HBOOT-M) Version 12.2(25r)SEE6, RELEASE SOFTWARE (fc1)

500-switch uptime is 20 hours, 2 minutes
System returned to ROM by power-on
System image file is "flash:c2960-lanbase-mz.122-35.SE5/c2960-lanbase-mz.122-35.SE5.bin"

cisco WS-C2960-24TT-L (PowerPC405) processor (revision F0) with 61440K/4088K bytes of memory.
Processor board ID FOC1233Y0U7
Last reset from power-on
1 Virtual Ethernet interface
24 FastEthernet interfaces
2 Gigabit Ethernet interfaces
The password-recovery mechanism is enabled.

64K bytes of flash-simulated non-volatile configuration memory.
Base ethernet MAC Address       : 00:22:BE:F3:13:00
Motherboard assembly number     : 73-11473-05
Power supply part number        : 341-0097-02
Motherboard serial number       : FOC12325B80
Power supply serial number      : DCA12288976
Model revision number           : F0
Motherboard revision number     : A0
Model number                    : WS-C2960-24TT-L
System serial number            : FOC1233Y0U7
Top Assembly Part Number        : 800-29859-02
Top Assembly Revision Number    : A0
Version ID                      : V05
CLEI Code Number                : COM3L00BRD
Hardware Board Revision Number  : 0x01


Switch   Ports  Model              SW Version              SW Image
------   -----  -----              ----------              ----------
*    1   26     WS-C2960-24TT-L    12.2(35)SE5             C2960-LANBASE-M


Configuration register is 0xF

Вот сам конфиг:

!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname 500-switch
!
enable secret 5 $1$/WQ7$ARWSO5XzUqbMWq8OjOtlt0
enable password cisco
!
no aaa new-model
clock timezone EET 2
system mtu routing 1500
ip subnet-zero
!
!
!
!
no file verify auto
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
interface FastEthernet0/1
ip access-group 1 in
!
interface FastEthernet0/2
ip access-group 2 in
!
interface FastEthernet0/3
ip access-group 3 in
!
interface FastEthernet0/4
ip access-group 4 in
!
interface FastEthernet0/5
ip access-group 5 in
!
interface FastEthernet0/6
ip access-group 6 in
!
interface FastEthernet0/7
ip access-group 7 in
!
interface FastEthernet0/8
!
interface FastEthernet0/9
!
interface FastEthernet0/10
!
interface FastEthernet0/11
!
interface FastEthernet0/12
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface FastEthernet0/15
!
interface FastEthernet0/16
!
interface FastEthernet0/17
!
interface FastEthernet0/18
!
interface FastEthernet0/19
!
interface FastEthernet0/20
!
interface FastEthernet0/21
!
interface FastEthernet0/22
!
interface FastEthernet0/23
description 258
speed 100
!
interface FastEthernet0/24
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface Vlan1
ip address 192.168.0.5 255.255.0.0
no ip route-cache
!
ip default-gateway 192.168.0.7
ip http server
access-list 3 permit 192.168.22.8
access-list 3 permit 192.168.22.6
access-list 3 permit 192.168.22.7
access-list 3 permit 192.168.22.4
access-list 3 permit 192.168.22.5
access-list 3 permit 192.168.22.2
access-list 3 permit 192.168.22.3
access-list 3 permit 192.168.22.1
!
control-plane
!
!
line con 0
line vty 0 4
password jkjkjkjkj
login
line vty 5 15
login
!
end


вот сами access-list:

500-switch>show access-list 3
Standard IP access list 3
    80 permit 192.168.22.8
    60 permit 192.168.22.6
    70 permit 192.168.22.7
    40 permit 192.168.22.4
    50 permit 192.168.22.5
    20 permit 192.168.22.2
    30 permit 192.168.22.3
    10 permit 192.168.22.1 (108 matches)

подскажите почему не работает access-list?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "CIsco 2960 port acl"  +1 +/
Сообщение от ShyLion (ok) on 30-Июн-16, 12:24 
> Добрый день!
> строю access-list чтобы пропускал только определенные ip на портах, но что-то пускает
> подскажите почему не работает access-list?

Наврное потому что это _коммутатор_.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "CIsco 2960 port acl"  +/
Сообщение от StreSS.t (ok) on 30-Июн-16, 18:34 
> Наврное потому что это _коммутатор_.

И более тонко ... _коммутатор_ уровня L2

По существу: лист создан, а привязывать Пушкин будет? или тут ИИ сам догадается какой лист к чему привязать?

http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst29...

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "CIsco 2960 port acl"  +/
Сообщение от Andrey (??) on 30-Июн-16, 22:39 
>> Наврное потому что это _коммутатор_.
> И более тонко ... _коммутатор_ уровня L2
> По существу: лист создан, а привязывать Пушкин будет? или тут ИИ сам
> догадается какой лист к чему привязать?
> http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst29...

Да ACL привязаны. Только не к L3 интерфейсу, а к L2 интерфейсам (с 1 по 7, что ACL, что езернеты). И откуда-то взялись ACL 1-2,4-7... ну если уж привязаны к интерфейсам.
А так да - читать мануалы и задавать вопросы. Желательно до конфигурации. Особенно на боевом оборудовании. Или гонять GNS3|PacketTracer.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "CIsco 2960 port acl"  +/
Сообщение от st0rk email(ok) on 01-Июл-16, 09:33 
>>> Наврное потому что это _коммутатор_.
>> И более тонко ... _коммутатор_ уровня L2
>> По существу: лист создан, а привязывать Пушкин будет? или тут ИИ сам
>> догадается какой лист к чему привязать?
>> http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst29...
> Да ACL привязаны. Только не к L3 интерфейсу, а к L2 интерфейсам
> (с 1 по 7, что ACL, что езернеты). И откуда-то взялись
> ACL 1-2,4-7... ну если уж привязаны к интерфейсам.
> А так да - читать мануалы и задавать вопросы. Желательно до конфигурации.
> Особенно на боевом оборудовании. Или гонять GNS3|PacketTracer.

ACL 1-2,4-7... они тоже есть, просто сюда не приводил, чтобы меньше текста было.
каждый ACL привязан к соответствующему порту.
cisco 2960 согласно документации умеет port acl ведь.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "CIsco 2960 port acl"  +/
Сообщение от ShyLion (ok) on 01-Июл-16, 15:31 
> cisco 2960 согласно документации умеет port acl ведь.

да, отстал я от жизни, LANBASE умеет, да.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "CIsco 2960 port acl"  +/
Сообщение от TechXytech on 01-Июл-16, 16:57 
Все должно работать при минимальных движениях:
а)#access-list 1 permit 192.168.22.1
б)#ip access-group 1 in (интерфейс на котором будут применяться правила из списка 1)
Всё!

Вывод #sh access-lists в Extended ACL последнее правило  deny ip any any ?

Меняйте IOS, есть более свежие 12-е, и даже 15-е версии.

Возможно схема сети поможет решить проблему. Но для начала учитывайте вышенаписанное.  

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "CIsco 2960 port acl"  +/
Сообщение от st0rk email(ok) on 04-Июл-16, 09:27 
> Все должно работать при минимальных движениях:
> а)#access-list 1 permit 192.168.22.1
> б)#ip access-group 1 in (интерфейс на котором будут применяться правила из списка
> 1)
> Всё!
> Вывод #sh access-lists в Extended ACL последнее правило  deny ip any
> any ?
> Меняйте IOS, есть более свежие 12-е, и даже 15-е версии.
> Возможно схема сети поможет решить проблему. Но для начала учитывайте вышенаписанное.

должно, но не работает :(
у меня Standard ACL,
500-switch>sh access-lists
Standard IP access list 1
    280 permit 192.168.22.8
    540 permit 192.168.23.9
    290 permit 192.168.24.9
    530 permit 192.168.23.8
    300 permit 192.168.22.10
    560 permit 192.168.23.11
    310 permit 192.168.22.11
    550 permit 192.168.23.10
    320 permit 192.168.22.12
    580 permit 192.168.23.13
и т.д.
последнее правило  deny ip any any по умолчания должно быть ведь, исходя из документации.
на всякий случай ставлю и это дело, только deny ip any any не работает, с ошибкой, предлагает access-list 3 deny any использовать:

500-switch#sh access-list 3
Standard IP access list 3
    10 permit 192.168.22.8
    20 permit 192.168.22.6
    30 permit 192.168.22.7
    40 permit 192.168.22.4
    50 permit 192.168.22.5
    60 permit 192.168.22.2
    70 permit 192.168.22.3
    80 permit 192.168.22.1
    90 deny   any

схема сети:
есть корпус из 5-ти этажей, каждый этаж - подсеть 192,168,21-25.1-
все входит в эту циску, дальше идет с циски шнурок в другой роутер, который неуправляемый, оттуда в сервак и в инет.
обновить теперь циску проблемно - стоит уже в серверной, снимать не очень хочется, или обновление ios решит проблему?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "CIsco 2960 port acl"  +/
Сообщение от Vitls (??) on 05-Июл-16, 14:23 
>> Все должно работать при минимальных движениях:
>> а)#access-list 1 permit 192.168.22.1
>> б)#ip access-group 1 in (интерфейс на котором будут применяться правила из списка
>> Вывод #sh access-lists в Extended ACL последнее правило  deny ip any
>> any ?
>> Возможно схема сети поможет решить проблему. Но для начала учитывайте вышенаписанное.
> должно, но не работает :(

Ибо deny ip any any - это есть расширенный ACL.


> схема сети:

Графический вариант, пожалуйста.


> обновить теперь циску проблемно - стоит уже в серверной, снимать не очень
> хочется, или обновление ios решит проблему?

Для того, чтобы обновить IOS, демонтировать железку необязательно.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "CIsco 2960 port acl"  +/
Сообщение от st0rk email(ok) on 05-Июл-16, 14:47 
>>> Все должно работать при минимальных движениях:
>>> а)#access-list 1 permit 192.168.22.1
>>> б)#ip access-group 1 in (интерфейс на котором будут применяться правила из списка
>>> Вывод #sh access-lists в Extended ACL последнее правило  deny ip any
>>> any ?
>>> Возможно схема сети поможет решить проблему. Но для начала учитывайте вышенаписанное.
>> должно, но не работает :(
> Ибо deny ip any any - это есть расширенный ACL.

хорошо,

interface FastEthernet0/3
ip access-group fl3 in

ip access-list extended fl3
permit ip host 192.168.22.1 any
deny ip any any

>> схема сети:
> Графический вариант, пожалуйста.

упростим задачу : к 3-му порту циски подключен 1 комп с ip 192.168.21.3, а разрешено только 192.168.22.1 (исходя из настроек выше) при этом 192.168.21.3 свободно ходит куда хочет

>> обновить теперь циску проблемно - стоит уже в серверной, снимать не очень
>> хочется, или обновление ios решит проблему?
> Для того, чтобы обновить IOS, демонтировать железку необязательно.

обязательно, если у меня только 1 системник с ком-портом, который работает в соседнем здании. И переходника com-usb в наличии нет.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "CIsco 2960 port acl"  +/
Сообщение от ShyLion (ok) on 06-Июл-16, 06:26 
Кто же к цискам ногами-то ходит??? Telnet и SSH придумали очень давно.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "CIsco 2960 port acl"  +/
Сообщение от st0rk email(ok) on 06-Июл-16, 10:12 
> Кто же к цискам ногами-то ходит??? Telnet и SSH придумали очень давно.

ну по сериалу надежнее. ок, обновил до c2960-lanbasek9-tar.150-2.SE9 ничего не изменилось

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "CIsco 2960 port acl"  +/
Сообщение от ShyLion (ok) on 06-Июл-16, 14:13 
>> Кто же к цискам ногами-то ходит??? Telnet и SSH придумали очень давно.
> ну по сериалу надежнее. ок, обновил до c2960-lanbasek9-tar.150-2.SE9 ничего не изменилось

Давай уже полный конфиг. и методику проверки.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "CIsco 2960 port acl"  +/
Сообщение от st0rk email(ok) on 06-Июл-16, 14:18 
>>> Кто же к цискам ногами-то ходит??? Telnet и SSH придумали очень давно.
>> ну по сериалу надежнее. ок, обновил до c2960-lanbasek9-tar.150-2.SE9 ничего не изменилось
> Давай уже полный конфиг. и методику проверки.

!
version 15.0
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname 500-switch
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$/WQ7$ARWSO5XzUqbMWq8OjOtlt0
enable password cisco
!
no aaa new-model
clock timezone EET 2 0
system mtu routing 1500
!
!
!
!
!
!
!
!
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
!
!
!
!
!
interface FastEthernet0/1
ip access-group 1 in
!
interface FastEthernet0/2
ip access-group 2 in
!
interface FastEthernet0/3
ip access-group fl3 in
!
interface FastEthernet0/4
ip access-group 4 in
!
interface FastEthernet0/5
ip access-group 5 in
!
interface FastEthernet0/6
ip access-group 6 in
!
interface FastEthernet0/7
ip access-group 7 in
!
interface FastEthernet0/8
!
interface FastEthernet0/9
!
interface FastEthernet0/10
!
interface FastEthernet0/11
!
interface FastEthernet0/12
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface FastEthernet0/15
!
interface FastEthernet0/16
!
interface FastEthernet0/17
!
interface FastEthernet0/18
!
interface FastEthernet0/19
!
interface FastEthernet0/20
!
interface FastEthernet0/21
!
interface FastEthernet0/22
!
interface FastEthernet0/23
description 258
speed 100
!
interface FastEthernet0/24
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface Vlan1
ip address 192.168.0.5 255.255.0.0
no ip route-cache
!
ip default-gateway 192.168.0.7
ip http server
ip http secure-server
!
ip access-list extended fl3
permit ip host 192.168.22.1 any
deny   ip any any
access-list 1 permit 192.168.32.8
access-list 1 permit 192.168.33.9
access-list 1 permit 192.168.32.9
access-list 1 permit 192.168.33.8
access-list 1 permit 192.168.32.10
access-list 1 permit 192.168.33.11
access-list 1 permit 192.168.32.11
access-list 1 permit 192.168.33.10
access-list 1 permit 192.168.32.12
access-list 1 permit 192.168.33.13
access-list 1 permit 192.168.32.13
access-list 1 permit 192.168.33.12
access-list 1 permit 192.168.32.14
access-list 1 permit 192.168.33.15
access-list 1 permit 192.168.32.15
access-list 1 permit 192.168.33.14
access-list 1 permit 192.168.33.1
access-list 1 permit 192.168.32.1
access-list 1 permit 192.168.32.2
access-list 1 permit 192.168.33.3
access-list 1 permit 192.168.32.3
access-list 1 permit 192.168.33.2
access-list 1 permit 192.168.32.4
access-list 1 permit 192.168.33.5
access-list 1 permit 192.168.32.5
access-list 1 permit 192.168.33.4
access-list 1 permit 192.168.32.6
access-list 1 permit 192.168.33.7
access-list 1 permit 192.168.32.7
access-list 1 permit 192.168.33.6
access-list 1 permit 192.168.32.24
access-list 1 permit 192.168.33.25
access-list 1 permit 192.168.32.25
access-list 1 permit 192.168.33.24
access-list 1 permit 192.168.33.27
access-list 1 permit 192.168.33.26
access-list 1 permit 192.168.33.29
access-list 1 permit 192.168.33.28
access-list 1 permit 192.168.33.30
access-list 1 permit 192.168.32.16
access-list 1 permit 192.168.33.17
access-list 1 permit 192.168.32.17
access-list 1 permit 192.168.33.16
access-list 1 permit 192.168.32.18
access-list 1 permit 192.168.33.19
access-list 1 permit 192.168.32.19
access-list 1 permit 192.168.33.18
access-list 1 permit 192.168.32.20
access-list 1 permit 192.168.33.21
access-list 1 permit 192.168.32.21
access-list 1 permit 192.168.33.20
access-list 1 permit 192.168.32.22
access-list 1 permit 192.168.33.23
access-list 1 permit 192.168.32.23
access-list 1 permit 192.168.33.22
access-list 1 permit 192.168.31.20
access-list 1 permit 192.168.31.19
access-list 1 permit 192.168.31.18
access-list 1 permit 192.168.31.17
access-list 1 permit 192.168.31.16
access-list 1 permit 192.168.31.7
access-list 1 permit 192.168.31.6
access-list 1 permit 192.168.31.5
access-list 1 permit 192.168.31.4
access-list 1 permit 192.168.31.3
access-list 1 permit 192.168.31.2
access-list 1 permit 192.168.31.1
access-list 1 permit 192.168.31.15
access-list 1 permit 192.168.31.14
access-list 1 permit 192.168.31.13
access-list 1 permit 192.168.31.12
access-list 1 permit 192.168.31.11
access-list 1 permit 192.168.31.10
access-list 1 permit 192.168.31.9
access-list 1 permit 192.168.31.8
access-list 2 permit 192.168.21.20
access-list 2 permit 192.168.21.17
access-list 2 permit 192.168.21.16
access-list 2 permit 192.168.21.19
access-list 2 permit 192.168.21.18
access-list 2 permit 192.168.21.13
access-list 2 permit 192.168.21.12
access-list 2 permit 192.168.21.15
access-list 2 permit 192.168.21.14
access-list 2 permit 192.168.21.9
access-list 2 permit 192.168.21.8
access-list 2 permit 192.168.21.11
access-list 2 permit 192.168.21.10
access-list 2 permit 192.168.21.5
access-list 2 permit 192.168.21.4
access-list 2 permit 192.168.21.7
access-list 2 permit 192.168.21.6
access-list 2 permit 192.168.21.1
access-list 2 permit 192.168.21.3
access-list 2 permit 192.168.21.2
access-list 3 permit 192.168.22.8
access-list 3 permit 192.168.22.6
access-list 3 permit 192.168.22.7
access-list 3 permit 192.168.22.4
access-list 3 permit 192.168.22.5
access-list 3 permit 192.168.22.2
access-list 3 permit 192.168.22.3
access-list 3 permit 192.168.22.1
access-list 3 deny   any
access-list 4 permit 192.168.23.30
access-list 4 permit 192.168.23.29
access-list 4 permit 192.168.23.28
access-list 4 permit 192.168.23.27
access-list 4 permit 192.168.23.26
access-list 4 permit 192.168.23.25
access-list 4 permit 192.168.23.24
access-list 4 permit 192.168.23.23
access-list 4 permit 192.168.23.22
access-list 4 permit 192.168.23.21
access-list 4 permit 192.168.23.20
access-list 4 permit 192.168.23.19
access-list 4 permit 192.168.23.18
access-list 4 permit 192.168.23.17
access-list 4 permit 192.168.23.16
access-list 4 permit 192.168.23.15
access-list 4 permit 192.168.23.14
access-list 4 permit 192.168.23.13
access-list 4 permit 192.168.23.12
access-list 4 permit 192.168.23.11
access-list 4 permit 192.168.23.10
access-list 4 permit 192.168.23.9
access-list 4 permit 192.168.23.8
access-list 4 permit 192.168.23.7
access-list 4 permit 192.168.23.6
access-list 4 permit 192.168.23.5
access-list 4 permit 192.168.23.4
access-list 4 permit 192.168.23.3
access-list 4 permit 192.168.23.2
access-list 4 permit 192.168.23.1
access-list 5 permit 192.168.24.1
access-list 5 permit 192.168.24.2
access-list 5 permit 192.168.24.3
access-list 5 permit 192.168.24.4
access-list 5 permit 192.168.24.5
access-list 5 permit 192.168.24.6
access-list 5 permit 192.168.24.7
access-list 5 permit 192.168.24.8
access-list 5 permit 192.168.24.9
access-list 5 permit 192.168.24.10
access-list 5 permit 192.168.24.11
access-list 5 permit 192.168.24.12
access-list 5 permit 192.168.24.13
access-list 5 permit 192.168.24.14
access-list 5 permit 192.168.24.15
access-list 6 permit 192.168.25.1
access-list 6 permit 192.168.25.3
access-list 6 permit 192.168.25.2
access-list 6 permit 192.168.25.5
access-list 6 permit 192.168.25.4
access-list 6 permit 192.168.25.7
access-list 6 permit 192.168.25.6
access-list 6 permit 192.168.25.9
access-list 6 permit 192.168.25.8
access-list 6 permit 192.168.25.11
access-list 6 permit 192.168.25.10
access-list 6 permit 192.168.25.13
access-list 6 permit 192.168.25.12
access-list 6 permit 192.168.25.15
access-list 6 permit 192.168.25.14
access-list 7 permit 192.168.12.36
access-list 7 permit 192.168.12.37
access-list 7 permit 192.168.12.38
access-list 7 permit 192.168.12.39
access-list 7 permit 192.168.12.32
access-list 7 permit 192.168.12.33
access-list 7 permit 192.168.12.34
access-list 7 permit 192.168.12.35
access-list 7 permit 192.168.12.44
access-list 7 permit 192.168.12.45
access-list 7 permit 192.168.12.46
access-list 7 permit 192.168.12.47
access-list 7 permit 192.168.12.40
access-list 7 permit 192.168.12.41
access-list 7 permit 192.168.12.42
access-list 7 permit 192.168.12.43
access-list 7 permit 192.168.12.48
access-list 7 permit 192.168.12.49
access-list 7 permit 192.168.12.50
access-list 7 permit 192.168.11.3
access-list 7 permit 192.168.12.4
access-list 7 permit 192.168.11.2
access-list 7 permit 192.168.12.5
access-list 7 permit 192.168.11.1
access-list 7 permit 192.168.12.6
access-list 7 permit 192.168.12.7
access-list 7 permit 192.168.11.7
access-list 7 permit 192.168.11.6
access-list 7 permit 192.168.12.1
access-list 7 permit 192.168.11.5
access-list 7 permit 192.168.12.2
access-list 7 permit 192.168.11.4
access-list 7 permit 192.168.12.3
access-list 7 permit 192.168.11.11
access-list 7 permit 192.168.12.12
access-list 7 permit 192.168.11.10
access-list 7 permit 192.168.12.13
access-list 7 permit 192.168.11.9
access-list 7 permit 192.168.12.14
access-list 7 permit 192.168.11.8
access-list 7 permit 192.168.12.15
access-list 7 permit 192.168.11.15
access-list 7 permit 192.168.12.8
access-list 7 permit 192.168.11.14
access-list 7 permit 192.168.12.9
access-list 7 permit 192.168.11.13
access-list 7 permit 192.168.12.10
access-list 7 permit 192.168.11.12
access-list 7 permit 192.168.12.11
access-list 7 permit 192.168.11.19
access-list 7 permit 192.168.12.20
access-list 7 permit 192.168.11.18
access-list 7 permit 192.168.12.21
access-list 7 permit 192.168.11.17
access-list 7 permit 192.168.12.22
access-list 7 permit 192.168.11.16
access-list 7 permit 192.168.12.23
access-list 7 permit 192.168.11.23
access-list 7 permit 192.168.12.16
access-list 7 permit 192.168.11.22
access-list 7 permit 192.168.12.17
access-list 7 permit 192.168.11.21
access-list 7 permit 192.168.12.18
access-list 7 permit 192.168.11.20
access-list 7 permit 192.168.12.19
access-list 7 permit 192.168.11.27
access-list 7 permit 192.168.12.28
access-list 7 permit 192.168.11.26
access-list 7 permit 192.168.12.29
access-list 7 permit 192.168.11.25
access-list 7 permit 192.168.12.30
access-list 7 permit 192.168.11.24
access-list 7 permit 192.168.12.31
access-list 7 permit 192.168.12.24
access-list 7 permit 192.168.11.30
access-list 7 permit 192.168.12.25
access-list 7 permit 192.168.11.29
access-list 7 permit 192.168.12.26
access-list 7 permit 192.168.11.28
access-list 7 permit 192.168.12.27
access-list 7 deny   any
!
!
line con 0
line vty 0 4
password password
login
line vty 5 15
login
!
end

проверка - тыкаюсь в 3 порт циски компом с ip 192.168.55.55 - хожу куда хочу, а должен ходить только с ip 192.168.22.1

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "CIsco 2960 port acl"  +/
Сообщение от ShyLion (ok) on 06-Июл-16, 15:44 
Завтра проверю на точно таком-же свиче у себя. На 3560 все работает, но они поумнее.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "CIsco 2960 port acl"  +/
Сообщение от ShyLion (ok) on 07-Июл-16, 07:08 
> Завтра проверю на точно таком-же свиче у себя. На 3560 все работает,
> но они поумнее.

Проверил. Все работает.


#show ver
Cisco IOS Software, C2960 Software (C2960-LANBASEK9-M), Version 12.2(55)SE5, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2012 by Cisco Systems, Inc.
Compiled Thu 09-Feb-12 19:11 by prod_rel_team
Image text-base: 0x00003000, data-base: 0x01900000

ROM: Bootstrap program is C2960 boot loader
BOOTLDR: C2960 Boot Loader (C2960-HBOOT-M) Version 12.2(53r)SEY3, RELEASE SOFTWARE (fc1)

sw-uti-omts24t05 uptime is 18 weeks, 2 days, 20 hours, 1 minute
System returned to ROM by power-on
System restarted at 14:01:49 TYM Mon Feb 29 2016
System image file is "flash:/c2960-lanbasek9-mz.122-55.SE5/c2960-lanbasek9-mz.122-55.SE5.bin"


This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.

A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by sending email to
export@cisco.com.

cisco WS-C2960-24TT-L (PowerPC405) processor (revision R0) with 65536K bytes of memory.
Processor board ID FCQ1642Y27H
Last reset from power-on
2 Virtual Ethernet interfaces
24 FastEthernet interfaces
2 Gigabit Ethernet interfaces
The password-recovery mechanism is enabled.

64K bytes of flash-simulated non-volatile configuration memory.
Base ethernet MAC Address       : xxxx
Motherboard assembly number     : 73-12600-06
Power supply part number        : 341-0097-03
Motherboard serial number       : xxx
Power supply serial number      : xxx
Model revision number           : R0
Motherboard revision number     : A0
Model number                    : WS-C2960-24TT-L
System serial number            : xxx
Top Assembly Part Number        : 800-32797-02
Top Assembly Revision Number    : A0
Version ID                      : V11
CLEI Code Number                : xxx
Hardware Board Revision Number  : 0x0A


Switch Ports Model              SW Version            SW Image
------ ----- -----              ----------            ----------
*    1 26    WS-C2960-24TT-L    12.2(55)SE5           C2960-LANBASEK9-M


Configuration register is 0xF


sw-uti-omts24t05(config)#ip access-list ext f06
sw-uti-omts24t05(config-ext-nacl)#deny ip any host 10.96.97.82
sw-uti-omts24t05(config-ext-nacl)#permit ip any any
sw-uti-omts24t05(config-ext-nacl)#exit
sw-uti-omts24t05(config)#int
sw-uti-omts24t05(config)#interface f0/6
sw-uti-omts24t05(config-if)#ip access-group f06 in

Как только назначаешь лист, связь хоста на порту с 10.96.97.82 прекращается, убираешь - возобновляется.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "CIsco 2960 port acl"  +/
Сообщение от ShyLion (ok) on 07-Июл-16, 07:20 
в порядке бреда - попробуй принудительно access режим на порту выставить:

switchport mode access
switchport nonegotiate

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру