форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"cisco access-list question"

Сообщение от crypt (??) on 30-Авг-07, 18:19

Хочу сделать возвратный (reflexive) ac, чтобы потом применить его на исходящем трафике. Сложность в том, что когда по докам можно выполнить: ip access-group outlist_ac out out не принимается. нет дополнения на out. есть только на in, а без out, я так понял, фишка работать не будет. может ли это быть связано с состоянием инитерфейся или чем-то другим? на что обратить внимание. cisco 35xx серии.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "cisco access-list question"

Сообщение от fate (??) on 30-Авг-07, 18:55

> Хочу сделать возвратный (reflexive) ac, чтобы потом применить его на исходящем >трафике. Сложность в том, что когда по докам можно выполнить: >ip access-group outlist_ac out >out не принимается. нет дополнения на out. есть только на in, а >без out, я так понял, фишка работать не будет. может ли >это быть связано с состоянием инитерфейся или чем-то другим? на что >обратить внимание. cisco 35xx серии. я так понимаю, что Вы на коммутаторе хотите повесить ALC для out на физическом интерфейсе? По-моему, это не получится, на out можно повесить только на vlan интерфейс.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "cisco access-list question"
	Сообщение от crypt (??) on 30-Авг-07, 19:27
	>я так понимаю, что Вы на коммутаторе хотите повесить ALC для out >на физическом интерфейсе? По-моему, это не получится, на out можно повесить >только на vlan интерфейс. Да, я пытался на физический, потому что прочел в документации это: interface ethernet 0 ip address 10.10.1.1 255.255.255.0 ip access-group 110 in ip access-group 115 out С другой стороны, логично, что чтобы агрегировать весь исходящий, то удобнее вешать на vlan. Я обратился к возвратным спискам, потому что не сразу увидел, что можно прописывать для tcp соединений   established флаг. Я правильно понимаю, что нет команды, которая применила бы асл к нескольким физ. портам сразу?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "cisco access-list question"
	Сообщение от fate (??) on 31-Авг-07, 11:19
	>Да, я пытался на физический, потому что прочел в документации это: >interface ethernet 0 >ip address 10.10.1.1 255.255.255.0 >ip access-group 110 in >ip access-group 115 out А можно сцылку дать на источник, где указано такое? >С другой стороны, логично, что чтобы агрегировать весь исходящий, то удобнее вешать >на vlan. Ага, логично, если учесть, что список третьего уровня, а коммутатор второго уровня, т.е. по мак-адресу определяется порт, а не по ип, т.е. для одной и тойже ип подсети не всегда один и тотже физический порт. >Я обратился к возвратным спискам, потому что не сразу увидел, что можно >прописывать для tcp соединений >established флаг. >Я правильно понимаю, что нет команды, которая применила бы асл к нескольким >физ. портам сразу? да, правильно.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "cisco access-list question"
	Сообщение от crypt (??) on 02-Сен-07, 06:47
	> >А можно сцылку дать на источник, где указано такое? Боюсь, что пока только такую: Руководство по Cisco IOS. Дж. Бони. она же Cisco IOS in Nutshell. Second Edition. James Boney.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "cisco access-list question"
	Сообщение от crypt (??) on 02-Сен-07, 06:50
	https://www.opennet.ru/base/cisco/access_list_intro.txt.html
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]