форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение		[ Отслеживать ]

"ACL inout проблема"	+/–
Сообщение от Otherkot (ok) on 26-Фев-16, 09:44
Cisco 2960 К interface gi0/7 подключен сервер,доступ к нему должен осуществляться только через это правило, на вход и на выход. прописываю правило ip access-list extended buh(имя правила) permit tcp any any eq 80 443...... permit udp any any eq 500 1434...... R(config-if) # ip access group buh IN - работает прописываю тоже правило но на выход ip access group buh OUT - пишет ошибку... Как я понимаю нужно включить SVI на интерфейсе Gi0/7 чтобы мою правило работало таким образом R(config-if)#ip access-group buh out
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "ACL inout проблема"	+/–
Сообщение от Del on 26-Фев-16, 10:06
>[оверквотинг удален] > ip access-list extended buh(имя правила) > permit tcp any any eq 80 443...... > permit udp any any eq 500 1434...... > R(config-if) # > ip access group buh IN - работает > прописываю тоже правило но на выход > ip access group buh OUT - пишет ошибку... > Как я понимаю нужно включить SVI на интерфейсе Gi0/7 чтобы мою правило > работало таким образом > R(config-if)#ip access-group buh out А порт как настроен? Какую ошибку пишет?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "ACL inout проблема"	+/–
	Сообщение от Otherkot (ok) on 26-Фев-16, 11:01
	>[оверквотинг удален] >> permit tcp any any eq 80 443...... >> permit udp any any eq 500 1434...... >> R(config-if) # >> ip access group buh IN - работает >> прописываю тоже правило но на выход >> ip access group buh OUT - пишет ошибку... >> Как я понимаю нужно включить SVI на интерфейсе Gi0/7 чтобы мою правило >> работало таким образом >> R(config-if)#ip access-group buh out > А порт как настроен? Какую ошибку пишет? ошибку пишет invalid input detect..... interface GigabitEthernet0/7 switchport access vlan 3 switchport mode access switchport protected switchport port-security maximum 2 switchport port-security switchport port-security violation restrict switchport port-security mac-address sticky switchport port-security mac-address 001F.67a0.a7e8 vlan access switchport port-security mac-address sticky 001B.69a0.a4e1 vlan access ip access-group buh in spanning-tree portfast end
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "ACL inout проблема"	+/–
Сообщение от Andrey (??) on 26-Фев-16, 21:19
>[оверквотинг удален] > ip access-list extended buh(имя правила) > permit tcp any any eq 80 443...... > permit udp any any eq 500 1434...... > R(config-if) # > ip access group buh IN - работает > прописываю тоже правило но на выход > ip access group buh OUT - пишет ошибку... > Как я понимаю нужно включить SVI на интерфейсе Gi0/7 чтобы мою правило > работало таким образом > R(config-if)#ip access-group buh out ACL на изначально L2 железке? Не боитесь что железка просто сдохнет? На такой железке extended ACL больше чем для защиты ControlPlane не стоит вешать. И да, у циски прямо сказано: Applying an IPv4 ACL to an Interface Note these guidelines: •Apply an ACL only to inbound Layer 2 ports. •Apply an ACL to either inbound or outbound VLAN interfaces to filter packets that are intended for the CPU, such as SNMP, Telnet, or web traffic. http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst29... Фаервол лучше включить на самом сервере или вынести сервер в VLAN, а VLAN на роутере или L3 свитче закрыть ACL. Но никогда на L2 свитче такое не делать.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "ACL inout проблема"	+/–
	Сообщение от Otherkot (ok) on 29-Фев-16, 08:57
	>[оверквотинг удален] > Applying an IPv4 ACL to an Interface > Note these guidelines: > •Apply an ACL only to inbound Layer 2 ports. > •Apply an ACL to either inbound or outbound VLAN interfaces to filter > packets that are intended for the CPU, such as SNMP, Telnet, > or web traffic. > http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst29... > Фаервол лучше включить на самом сервере или вынести сервер в VLAN, а > VLAN на роутере или L3 свитче закрыть ACL. Но никогда на > L2 свитче такое не делать. Да, ACL изначально на L2.Только учусь с циской обращаться,поэтому вопрос:Почему она может сдохнуть? И,да что такое 'ControlPlane' ?
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "ACL inout проблема"	+/–
	Сообщение от Andrey (??) on 29-Фев-16, 09:46
	>[оверквотинг удален] >> •Apply an ACL to either inbound or outbound VLAN interfaces to filter >> packets that are intended for the CPU, such as SNMP, Telnet, >> or web traffic. >> http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst29... >> Фаервол лучше включить на самом сервере или вынести сервер в VLAN, а >> VLAN на роутере или L3 свитче закрыть ACL. Но никогда на >> L2 свитче такое не делать. > Да, ACL изначально на L2.Только учусь с циской обращаться,поэтому вопрос:Почему она может > сдохнуть? > И,да что такое 'ControlPlane' ? Процессор L2 коммутатора не предназначен для обработки трафика L3 на полных (и даже не полных) скоростях интерфейсов. По русски - не хватит процессора. Control Plane это уровни обработки трафика проходящего через маршрутизатор/коммутатор или обращенный непосредственно к оборудованию. Доходчиво объяснено здесь: http://www.anticisco.ru/blogs/2012/06/%D0%B7%.../
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема