- Контроль исходящего трафика на физических портах Catalyst-ов,
 е, 15:07 , 27-Янв-06 (1)>Есть ли среди коммутаторов Cisco Catalyst модели поддерживающие
>подобный синтаксис:
>
>cat3560(config)#int fa0/1
>cat3560(config-if)#ip access-group 2233 out >
>На WS-C2950T-24-EI и WS-C3560-24TS-S на физических интерфейсах
>поддерживается только контроль входящего траффика:(
>
>cat3560(config-if)#ip access-group 2233 ?
> in inbound packets
А чем не устраивает прописать ACL на вход и выход влану?
- Контроль исходящего трафика на физических портах Catalyst-ов, ON, 17:46 , 27-Янв-06 (2)
>
>А чем не устраивает прописать ACL на вход и выход влану? Прописал тест на WS-C3560-24TS-S:
!
interface Vlan1
ip address 192.168.0.245 255.255.255.0
ip access-group 101 in
ip access-group 102 out
!
ip classless
!
access-list 101 permit ip host 192.168.0.100 host 192.168.0.245
access-list 101 permit ip host 192.168.0.245 host 192.168.0.100
access-list 101 deny ip any any access-list 102 permit ip host 192.168.0.100 host 192.168.0.245
access-list 102 permit ip host 192.168.0.245 host 192.168.0.100
access-list 102 deny ip any any
Подскажите, почему не применяет эти правила, что-где ещё прописать?
- Контроль исходящего трафика на физических портах Catalyst-ов, Сайко, 18:08 , 27-Янв-06 (3)
А что в итоге ты хочешь получить?
Если ограничить доступ на этот свитч, то просто закрой все ненужные сервисы(small udp/tcp services, http server и т.д.), а на line vty повесть ACL:access-list 1 permit 192.168.0.100
!
line vty 0 4
access-class 1 in
line vty 5 15
access-class 1 in
- Контроль исходящего трафика на физических портах Catalyst-ов, ON, 18:22 , 27-Янв-06 (4)
>А что в итоге ты хочешь получить? фаервол в центре сетки. 24 клиентских порта, два гигабитных серверных.
Клиенты ходят на определенные серверные адрес:порт. Всё замечательно файрволилось, но к паре-тройке клиентов нужен быть доступ от серваков.
как это реализовать на каталистах?
|
Версия для распечатки
Контроль исходящего трафика на физических портах Catalyst-ов, 
