- CIsco 2960 port acl,
 ShyLion, 12:24 , 30-Июн-16 (1) +1 > Добрый день!
> строю access-list чтобы пропускал только определенные ip на портах, но что-то пускает
> подскажите почему не работает access-list?Наврное потому что это _коммутатор_.
- CIsco 2960 port acl, StreSS.t, 18:34 , 30-Июн-16 (2)
- CIsco 2960 port acl, Andrey, 22:39 , 30-Июн-16 (3)
>> Наврное потому что это _коммутатор_.
> И более тонко ... _коммутатор_ уровня L2
> По существу: лист создан, а привязывать Пушкин будет? или тут ИИ сам
> догадается какой лист к чему привязать?
> http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst29... Да ACL привязаны. Только не к L3 интерфейсу, а к L2 интерфейсам (с 1 по 7, что ACL, что езернеты). И откуда-то взялись ACL 1-2,4-7... ну если уж привязаны к интерфейсам.
А так да - читать мануалы и задавать вопросы. Желательно до конфигурации. Особенно на боевом оборудовании. Или гонять GNS3|PacketTracer.
- CIsco 2960 port acl, st0rk, 09:33 , 01-Июл-16 (4)
>>> Наврное потому что это _коммутатор_.
>> И более тонко ... _коммутатор_ уровня L2
>> По существу: лист создан, а привязывать Пушкин будет? или тут ИИ сам
>> догадается какой лист к чему привязать?
>> http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst29...
> Да ACL привязаны. Только не к L3 интерфейсу, а к L2 интерфейсам
> (с 1 по 7, что ACL, что езернеты). И откуда-то взялись
> ACL 1-2,4-7... ну если уж привязаны к интерфейсам.
> А так да - читать мануалы и задавать вопросы. Желательно до конфигурации.
> Особенно на боевом оборудовании. Или гонять GNS3|PacketTracer.ACL 1-2,4-7... они тоже есть, просто сюда не приводил, чтобы меньше текста было.
каждый ACL привязан к соответствующему порту.
cisco 2960 согласно документации умеет port acl ведь.
- CIsco 2960 port acl, ShyLion, 15:31 , 01-Июл-16 (5)
> cisco 2960 согласно документации умеет port acl ведь.да, отстал я от жизни, LANBASE умеет, да.
- CIsco 2960 port acl, TechXytech, 16:57 , 01-Июл-16 (6)
Все должно работать при минимальных движениях:
а)#access-list 1 permit 192.168.22.1
б)#ip access-group 1 in (интерфейс на котором будут применяться правила из списка 1)
Всё!Вывод #sh access-lists в Extended ACL последнее правило deny ip any any ? Меняйте IOS, есть более свежие 12-е, и даже 15-е версии. Возможно схема сети поможет решить проблему. Но для начала учитывайте вышенаписанное.
- CIsco 2960 port acl, st0rk, 09:27 , 04-Июл-16 (7)
> Все должно работать при минимальных движениях:
> а)#access-list 1 permit 192.168.22.1
> б)#ip access-group 1 in (интерфейс на котором будут применяться правила из списка
> 1)
> Всё!
> Вывод #sh access-lists в Extended ACL последнее правило deny ip any
> any ?
> Меняйте IOS, есть более свежие 12-е, и даже 15-е версии.
> Возможно схема сети поможет решить проблему. Но для начала учитывайте вышенаписанное.должно, но не работает :(
у меня Standard ACL,
500-switch>sh access-lists
Standard IP access list 1
280 permit 192.168.22.8
540 permit 192.168.23.9
290 permit 192.168.24.9
530 permit 192.168.23.8
300 permit 192.168.22.10
560 permit 192.168.23.11
310 permit 192.168.22.11
550 permit 192.168.23.10
320 permit 192.168.22.12
580 permit 192.168.23.13
и т.д.
последнее правило deny ip any any по умолчания должно быть ведь, исходя из документации.
на всякий случай ставлю и это дело, только deny ip any any не работает, с ошибкой, предлагает access-list 3 deny any использовать: 500-switch#sh access-list 3
Standard IP access list 3
10 permit 192.168.22.8
20 permit 192.168.22.6
30 permit 192.168.22.7
40 permit 192.168.22.4
50 permit 192.168.22.5
60 permit 192.168.22.2
70 permit 192.168.22.3
80 permit 192.168.22.1
90 deny any схема сети:
есть корпус из 5-ти этажей, каждый этаж - подсеть 192,168,21-25.1-
все входит в эту циску, дальше идет с циски шнурок в другой роутер, который неуправляемый, оттуда в сервак и в инет.
обновить теперь циску проблемно - стоит уже в серверной, снимать не очень хочется, или обновление ios решит проблему?
- CIsco 2960 port acl, Vitls, 14:23 , 05-Июл-16 (8)
>> Все должно работать при минимальных движениях:
>> а)#access-list 1 permit 192.168.22.1
>> б)#ip access-group 1 in (интерфейс на котором будут применяться правила из списка
>> Вывод #sh access-lists в Extended ACL последнее правило deny ip any
>> any ?
>> Возможно схема сети поможет решить проблему. Но для начала учитывайте вышенаписанное.
> должно, но не работает :( Ибо deny ip any any - это есть расширенный ACL.
> схема сети:
Графический вариант, пожалуйста.
> обновить теперь циску проблемно - стоит уже в серверной, снимать не очень
> хочется, или обновление ios решит проблему?
Для того, чтобы обновить IOS, демонтировать железку необязательно.
- CIsco 2960 port acl, st0rk, 14:47 , 05-Июл-16 (9)
>>> Все должно работать при минимальных движениях:
>>> а)#access-list 1 permit 192.168.22.1
>>> б)#ip access-group 1 in (интерфейс на котором будут применяться правила из списка
>>> Вывод #sh access-lists в Extended ACL последнее правило deny ip any
>>> any ?
>>> Возможно схема сети поможет решить проблему. Но для начала учитывайте вышенаписанное.
>> должно, но не работает :(
> Ибо deny ip any any - это есть расширенный ACL.хорошо, interface FastEthernet0/3
ip access-group fl3 in ip access-list extended fl3
permit ip host 192.168.22.1 any
deny ip any any >> схема сети:
> Графический вариант, пожалуйста. упростим задачу : к 3-му порту циски подключен 1 комп с ip 192.168.21.3, а разрешено только 192.168.22.1 (исходя из настроек выше) при этом 192.168.21.3 свободно ходит куда хочет >> обновить теперь циску проблемно - стоит уже в серверной, снимать не очень
>> хочется, или обновление ios решит проблему?
> Для того, чтобы обновить IOS, демонтировать железку необязательно. обязательно, если у меня только 1 системник с ком-портом, который работает в соседнем здании. И переходника com-usb в наличии нет.
- CIsco 2960 port acl, ShyLion, 06:26 , 06-Июл-16 (10)
Кто же к цискам ногами-то ходит??? Telnet и SSH придумали очень давно.
- CIsco 2960 port acl, st0rk, 10:12 , 06-Июл-16 (11)
> Кто же к цискам ногами-то ходит??? Telnet и SSH придумали очень давно. ну по сериалу надежнее. ок, обновил до c2960-lanbasek9-tar.150-2.SE9 ничего не изменилось
- CIsco 2960 port acl, ShyLion, 14:13 , 06-Июл-16 (12)
>> Кто же к цискам ногами-то ходит??? Telnet и SSH придумали очень давно.
> ну по сериалу надежнее. ок, обновил до c2960-lanbasek9-tar.150-2.SE9 ничего не изменилось Давай уже полный конфиг. и методику проверки.
- CIsco 2960 port acl, st0rk, 14:18 , 06-Июл-16 (13)
>>> Кто же к цискам ногами-то ходит??? Telnet и SSH придумали очень давно.
>> ну по сериалу надежнее. ок, обновил до c2960-lanbasek9-tar.150-2.SE9 ничего не изменилось
> Давай уже полный конфиг. и методику проверки.!
version 15.0
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname 500-switch
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$/WQ7$ARWSO5XzUqbMWq8OjOtlt0
enable password cisco
!
no aaa new-model
clock timezone EET 2 0
system mtu routing 1500
!
!
!
!
!
!
!
!
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
!
!
!
!
!
interface FastEthernet0/1
ip access-group 1 in
!
interface FastEthernet0/2
ip access-group 2 in
!
interface FastEthernet0/3
ip access-group fl3 in
!
interface FastEthernet0/4
ip access-group 4 in
!
interface FastEthernet0/5
ip access-group 5 in
!
interface FastEthernet0/6
ip access-group 6 in
!
interface FastEthernet0/7
ip access-group 7 in
!
interface FastEthernet0/8
!
interface FastEthernet0/9
!
interface FastEthernet0/10
!
interface FastEthernet0/11
!
interface FastEthernet0/12
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface FastEthernet0/15
!
interface FastEthernet0/16
!
interface FastEthernet0/17
!
interface FastEthernet0/18
!
interface FastEthernet0/19
!
interface FastEthernet0/20
!
interface FastEthernet0/21
!
interface FastEthernet0/22
!
interface FastEthernet0/23
description 258
speed 100
!
interface FastEthernet0/24
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface Vlan1
ip address 192.168.0.5 255.255.0.0
no ip route-cache
!
ip default-gateway 192.168.0.7
ip http server
ip http secure-server
!
ip access-list extended fl3
permit ip host 192.168.22.1 any
deny ip any any
access-list 1 permit 192.168.32.8
access-list 1 permit 192.168.33.9
access-list 1 permit 192.168.32.9
access-list 1 permit 192.168.33.8
access-list 1 permit 192.168.32.10
access-list 1 permit 192.168.33.11
access-list 1 permit 192.168.32.11
access-list 1 permit 192.168.33.10
access-list 1 permit 192.168.32.12
access-list 1 permit 192.168.33.13
access-list 1 permit 192.168.32.13
access-list 1 permit 192.168.33.12
access-list 1 permit 192.168.32.14
access-list 1 permit 192.168.33.15
access-list 1 permit 192.168.32.15
access-list 1 permit 192.168.33.14
access-list 1 permit 192.168.33.1
access-list 1 permit 192.168.32.1
access-list 1 permit 192.168.32.2
access-list 1 permit 192.168.33.3
access-list 1 permit 192.168.32.3
access-list 1 permit 192.168.33.2
access-list 1 permit 192.168.32.4
access-list 1 permit 192.168.33.5
access-list 1 permit 192.168.32.5
access-list 1 permit 192.168.33.4
access-list 1 permit 192.168.32.6
access-list 1 permit 192.168.33.7
access-list 1 permit 192.168.32.7
access-list 1 permit 192.168.33.6
access-list 1 permit 192.168.32.24
access-list 1 permit 192.168.33.25
access-list 1 permit 192.168.32.25
access-list 1 permit 192.168.33.24
access-list 1 permit 192.168.33.27
access-list 1 permit 192.168.33.26
access-list 1 permit 192.168.33.29
access-list 1 permit 192.168.33.28
access-list 1 permit 192.168.33.30
access-list 1 permit 192.168.32.16
access-list 1 permit 192.168.33.17
access-list 1 permit 192.168.32.17
access-list 1 permit 192.168.33.16
access-list 1 permit 192.168.32.18
access-list 1 permit 192.168.33.19
access-list 1 permit 192.168.32.19
access-list 1 permit 192.168.33.18
access-list 1 permit 192.168.32.20
access-list 1 permit 192.168.33.21
access-list 1 permit 192.168.32.21
access-list 1 permit 192.168.33.20
access-list 1 permit 192.168.32.22
access-list 1 permit 192.168.33.23
access-list 1 permit 192.168.32.23
access-list 1 permit 192.168.33.22
access-list 1 permit 192.168.31.20
access-list 1 permit 192.168.31.19
access-list 1 permit 192.168.31.18
access-list 1 permit 192.168.31.17
access-list 1 permit 192.168.31.16
access-list 1 permit 192.168.31.7
access-list 1 permit 192.168.31.6
access-list 1 permit 192.168.31.5
access-list 1 permit 192.168.31.4
access-list 1 permit 192.168.31.3
access-list 1 permit 192.168.31.2
access-list 1 permit 192.168.31.1
access-list 1 permit 192.168.31.15
access-list 1 permit 192.168.31.14
access-list 1 permit 192.168.31.13
access-list 1 permit 192.168.31.12
access-list 1 permit 192.168.31.11
access-list 1 permit 192.168.31.10
access-list 1 permit 192.168.31.9
access-list 1 permit 192.168.31.8
access-list 2 permit 192.168.21.20
access-list 2 permit 192.168.21.17
access-list 2 permit 192.168.21.16
access-list 2 permit 192.168.21.19
access-list 2 permit 192.168.21.18
access-list 2 permit 192.168.21.13
access-list 2 permit 192.168.21.12
access-list 2 permit 192.168.21.15
access-list 2 permit 192.168.21.14
access-list 2 permit 192.168.21.9
access-list 2 permit 192.168.21.8
access-list 2 permit 192.168.21.11
access-list 2 permit 192.168.21.10
access-list 2 permit 192.168.21.5
access-list 2 permit 192.168.21.4
access-list 2 permit 192.168.21.7
access-list 2 permit 192.168.21.6
access-list 2 permit 192.168.21.1
access-list 2 permit 192.168.21.3
access-list 2 permit 192.168.21.2
access-list 3 permit 192.168.22.8
access-list 3 permit 192.168.22.6
access-list 3 permit 192.168.22.7
access-list 3 permit 192.168.22.4
access-list 3 permit 192.168.22.5
access-list 3 permit 192.168.22.2
access-list 3 permit 192.168.22.3
access-list 3 permit 192.168.22.1
access-list 3 deny any
access-list 4 permit 192.168.23.30
access-list 4 permit 192.168.23.29
access-list 4 permit 192.168.23.28
access-list 4 permit 192.168.23.27
access-list 4 permit 192.168.23.26
access-list 4 permit 192.168.23.25
access-list 4 permit 192.168.23.24
access-list 4 permit 192.168.23.23
access-list 4 permit 192.168.23.22
access-list 4 permit 192.168.23.21
access-list 4 permit 192.168.23.20
access-list 4 permit 192.168.23.19
access-list 4 permit 192.168.23.18
access-list 4 permit 192.168.23.17
access-list 4 permit 192.168.23.16
access-list 4 permit 192.168.23.15
access-list 4 permit 192.168.23.14
access-list 4 permit 192.168.23.13
access-list 4 permit 192.168.23.12
access-list 4 permit 192.168.23.11
access-list 4 permit 192.168.23.10
access-list 4 permit 192.168.23.9
access-list 4 permit 192.168.23.8
access-list 4 permit 192.168.23.7
access-list 4 permit 192.168.23.6
access-list 4 permit 192.168.23.5
access-list 4 permit 192.168.23.4
access-list 4 permit 192.168.23.3
access-list 4 permit 192.168.23.2
access-list 4 permit 192.168.23.1
access-list 5 permit 192.168.24.1
access-list 5 permit 192.168.24.2
access-list 5 permit 192.168.24.3
access-list 5 permit 192.168.24.4
access-list 5 permit 192.168.24.5
access-list 5 permit 192.168.24.6
access-list 5 permit 192.168.24.7
access-list 5 permit 192.168.24.8
access-list 5 permit 192.168.24.9
access-list 5 permit 192.168.24.10
access-list 5 permit 192.168.24.11
access-list 5 permit 192.168.24.12
access-list 5 permit 192.168.24.13
access-list 5 permit 192.168.24.14
access-list 5 permit 192.168.24.15
access-list 6 permit 192.168.25.1
access-list 6 permit 192.168.25.3
access-list 6 permit 192.168.25.2
access-list 6 permit 192.168.25.5
access-list 6 permit 192.168.25.4
access-list 6 permit 192.168.25.7
access-list 6 permit 192.168.25.6
access-list 6 permit 192.168.25.9
access-list 6 permit 192.168.25.8
access-list 6 permit 192.168.25.11
access-list 6 permit 192.168.25.10
access-list 6 permit 192.168.25.13
access-list 6 permit 192.168.25.12
access-list 6 permit 192.168.25.15
access-list 6 permit 192.168.25.14
access-list 7 permit 192.168.12.36
access-list 7 permit 192.168.12.37
access-list 7 permit 192.168.12.38
access-list 7 permit 192.168.12.39
access-list 7 permit 192.168.12.32
access-list 7 permit 192.168.12.33
access-list 7 permit 192.168.12.34
access-list 7 permit 192.168.12.35
access-list 7 permit 192.168.12.44
access-list 7 permit 192.168.12.45
access-list 7 permit 192.168.12.46
access-list 7 permit 192.168.12.47
access-list 7 permit 192.168.12.40
access-list 7 permit 192.168.12.41
access-list 7 permit 192.168.12.42
access-list 7 permit 192.168.12.43
access-list 7 permit 192.168.12.48
access-list 7 permit 192.168.12.49
access-list 7 permit 192.168.12.50
access-list 7 permit 192.168.11.3
access-list 7 permit 192.168.12.4
access-list 7 permit 192.168.11.2
access-list 7 permit 192.168.12.5
access-list 7 permit 192.168.11.1
access-list 7 permit 192.168.12.6
access-list 7 permit 192.168.12.7
access-list 7 permit 192.168.11.7
access-list 7 permit 192.168.11.6
access-list 7 permit 192.168.12.1
access-list 7 permit 192.168.11.5
access-list 7 permit 192.168.12.2
access-list 7 permit 192.168.11.4
access-list 7 permit 192.168.12.3
access-list 7 permit 192.168.11.11
access-list 7 permit 192.168.12.12
access-list 7 permit 192.168.11.10
access-list 7 permit 192.168.12.13
access-list 7 permit 192.168.11.9
access-list 7 permit 192.168.12.14
access-list 7 permit 192.168.11.8
access-list 7 permit 192.168.12.15
access-list 7 permit 192.168.11.15
access-list 7 permit 192.168.12.8
access-list 7 permit 192.168.11.14
access-list 7 permit 192.168.12.9
access-list 7 permit 192.168.11.13
access-list 7 permit 192.168.12.10
access-list 7 permit 192.168.11.12
access-list 7 permit 192.168.12.11
access-list 7 permit 192.168.11.19
access-list 7 permit 192.168.12.20
access-list 7 permit 192.168.11.18
access-list 7 permit 192.168.12.21
access-list 7 permit 192.168.11.17
access-list 7 permit 192.168.12.22
access-list 7 permit 192.168.11.16
access-list 7 permit 192.168.12.23
access-list 7 permit 192.168.11.23
access-list 7 permit 192.168.12.16
access-list 7 permit 192.168.11.22
access-list 7 permit 192.168.12.17
access-list 7 permit 192.168.11.21
access-list 7 permit 192.168.12.18
access-list 7 permit 192.168.11.20
access-list 7 permit 192.168.12.19
access-list 7 permit 192.168.11.27
access-list 7 permit 192.168.12.28
access-list 7 permit 192.168.11.26
access-list 7 permit 192.168.12.29
access-list 7 permit 192.168.11.25
access-list 7 permit 192.168.12.30
access-list 7 permit 192.168.11.24
access-list 7 permit 192.168.12.31
access-list 7 permit 192.168.12.24
access-list 7 permit 192.168.11.30
access-list 7 permit 192.168.12.25
access-list 7 permit 192.168.11.29
access-list 7 permit 192.168.12.26
access-list 7 permit 192.168.11.28
access-list 7 permit 192.168.12.27
access-list 7 deny any
!
!
line con 0
line vty 0 4
password password
login
line vty 5 15
login
!
end проверка - тыкаюсь в 3 порт циски компом с ip 192.168.55.55 - хожу куда хочу, а должен ходить только с ip 192.168.22.1
- CIsco 2960 port acl, ShyLion, 15:44 , 06-Июл-16 (14)
Завтра проверю на точно таком-же свиче у себя. На 3560 все работает, но они поумнее.
- CIsco 2960 port acl, ShyLion, 07:08 , 07-Июл-16 (15)
> Завтра проверю на точно таком-же свиче у себя. На 3560 все работает,
> но они поумнее.Проверил. Все работает.
#show ver
Cisco IOS Software, C2960 Software (C2960-LANBASEK9-M), Version 12.2(55)SE5, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2012 by Cisco Systems, Inc.
Compiled Thu 09-Feb-12 19:11 by prod_rel_team
Image text-base: 0x00003000, data-base: 0x01900000ROM: Bootstrap program is C2960 boot loader
BOOTLDR: C2960 Boot Loader (C2960-HBOOT-M) Version 12.2(53r)SEY3, RELEASE SOFTWARE (fc1) sw-uti-omts24t05 uptime is 18 weeks, 2 days, 20 hours, 1 minute
System returned to ROM by power-on
System restarted at 14:01:49 TYM Mon Feb 29 2016
System image file is "flash:/c2960-lanbasek9-mz.122-55.SE5/c2960-lanbasek9-mz.122-55.SE5.bin"
This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.
A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html If you require further assistance please contact us by sending email to
export@cisco.com. cisco WS-C2960-24TT-L (PowerPC405) processor (revision R0) with 65536K bytes of memory.
Processor board ID FCQ1642Y27H
Last reset from power-on
2 Virtual Ethernet interfaces
24 FastEthernet interfaces
2 Gigabit Ethernet interfaces
The password-recovery mechanism is enabled. 64K bytes of flash-simulated non-volatile configuration memory.
Base ethernet MAC Address : xxxx
Motherboard assembly number : 73-12600-06
Power supply part number : 341-0097-03
Motherboard serial number : xxx
Power supply serial number : xxx
Model revision number : R0
Motherboard revision number : A0
Model number : WS-C2960-24TT-L
System serial number : xxx
Top Assembly Part Number : 800-32797-02
Top Assembly Revision Number : A0
Version ID : V11
CLEI Code Number : xxx
Hardware Board Revision Number : 0x0A
Switch Ports Model SW Version SW Image
------ ----- ----- ---------- ----------
* 1 26 WS-C2960-24TT-L 12.2(55)SE5 C2960-LANBASEK9-M
Configuration register is 0xF
sw-uti-omts24t05(config)#ip access-list ext f06
sw-uti-omts24t05(config-ext-nacl)#deny ip any host 10.96.97.82
sw-uti-omts24t05(config-ext-nacl)#permit ip any any
sw-uti-omts24t05(config-ext-nacl)#exit
sw-uti-omts24t05(config)#int
sw-uti-omts24t05(config)#interface f0/6
sw-uti-omts24t05(config-if)#ip access-group f06 in
Как только назначаешь лист, связь хоста на порту с 10.96.97.82 прекращается, убираешь - возобновляется.
- CIsco 2960 port acl, ShyLion, 07:20 , 07-Июл-16 (16)
в порядке бреда - попробуй принудительно access режим на порту выставить: switchport mode access
switchport nonegotiate
|
Версия для распечатки
CIsco 2960 port acl, 
