- Контроль исходящего трафика на физических портах Catalyst-ов, е, 15:07 , 27-Янв-06 (1)
>Есть ли среди коммутаторов Cisco Catalyst модели поддерживающие >подобный синтаксис: > >cat3560(config)#int fa0/1 >cat3560(config-if)#ip access-group 2233 out > >На WS-C2950T-24-EI и WS-C3560-24TS-S на физических интерфейсах >поддерживается только контроль входящего траффика:( > >cat3560(config-if)#ip access-group 2233 ? > in inbound packets А чем не устраивает прописать ACL на вход и выход влану?
- Контроль исходящего трафика на физических портах Catalyst-ов, ON, 17:46 , 27-Янв-06 (2)
> >А чем не устраивает прописать ACL на вход и выход влану? Прописал тест на WS-C3560-24TS-S: ! interface Vlan1 ip address 192.168.0.245 255.255.255.0 ip access-group 101 in ip access-group 102 out ! ip classless ! access-list 101 permit ip host 192.168.0.100 host 192.168.0.245 access-list 101 permit ip host 192.168.0.245 host 192.168.0.100 access-list 101 deny ip any any access-list 102 permit ip host 192.168.0.100 host 192.168.0.245 access-list 102 permit ip host 192.168.0.245 host 192.168.0.100 access-list 102 deny ip any any Подскажите, почему не применяет эти правила, что-где ещё прописать?
- Контроль исходящего трафика на физических портах Catalyst-ов, Сайко, 18:08 , 27-Янв-06 (3)
А что в итоге ты хочешь получить? Если ограничить доступ на этот свитч, то просто закрой все ненужные сервисы(small udp/tcp services, http server и т.д.), а на line vty повесть ACL:access-list 1 permit 192.168.0.100 ! line vty 0 4 access-class 1 in line vty 5 15 access-class 1 in
- Контроль исходящего трафика на физических портах Catalyst-ов, ON, 18:22 , 27-Янв-06 (4)
>А что в итоге ты хочешь получить? фаервол в центре сетки. 24 клиентских порта, два гигабитных серверных. Клиенты ходят на определенные серверные адрес:порт. Всё замечательно файрволилось, но к паре-тройке клиентов нужен быть доступ от серваков. как это реализовать на каталистах?
|