Switch to full style
Все что связано с маршрутизирующими коммутаторами и работе с ними
Ответить

настройка access-list

19 янв 2016, 14:46

Приветствую алл.
Нужна помощь в настройке access-list - коммутатор х 600 24 порта
конфигурация: два вилана vlan 100 - 192.168.100.0 и vlan 200 - 192.168.101.0
В vlan 200 торчит интерфейс vmware с VM win 7 c поднятым FTP сервером
задача - запретить подключения по ftp из vlan 100 (блин, вообще хоть что-то запретить :evil: :evil: :evil: :evil: )
три дня угробил - что только не пробовал - такое ощущение что access-list вообще не применяется. ну или я втупливаю капитально.. пытался запретить вообще весь трафик из подсети 192.168.101.0 - пофигу - все отлично бегает....
вообщем хелп

Re: настройка access-list

19 янв 2016, 15:53

http://alliedtelesis.com/userfiles/file ... tering.pdf
http://alliedtelesis.com/userfiles/file ... in_use.pdf

Re: настройка access-list

20 янв 2016, 03:43

Огромный человеческий респект... Все хотелки реализовал :D Вроде и написано в большом мануле всё, но написан он явно не для людей :evil: :evil:
Есть ещё вопрос - создал такую acl-ку

Named Extended IP access list allowweb
10 permit tcp 192.168.100.0/24 192.168.101.11/32 eq 80
смысл - разрешить только www сервер. Как я понял, то что явно не разрешено, то запрещено.
Пытаюсь повесить её на порт и получаю отлуп
x600(config)#interface port1.0.2
x600(config-if)#access-list allowweb
^
% Invalid input detected at '^' marker.

x600(config-if)#access-group allowweb
% Access list does not exist
попробовал по другому ---
создаю неименнованную acl
Extended IP access list 2001
пытаюсь добавить правило
x600(config-ip-ext-acl)#permit tcp 192.168.100.0/24 192.168.101.11/32 eq 80
^
% Invalid input detected at '^' marker.

что не так? :roll:

Re: настройка access-list

20 янв 2016, 10:06

qazwer писал(а):Огромный человеческий респект... Все хотелки реализовал :D Вроде и написано в большом мануле всё, но написан он явно не для людей :evil: :evil:
Есть ещё вопрос - создал такую acl-ку

Named Extended IP access list allowweb
10 permit tcp 192.168.100.0/24 192.168.101.11/32 eq 80
смысл - разрешить только www сервер. Как я понял, то что явно не разрешено, то запрещено.
Пытаюсь повесить её на порт и получаю отлуп
x600(config)#interface port1.0.2
x600(config-if)#access-list allowweb
^
% Invalid input detected at '^' marker.

x600(config-if)#access-group allowweb
% Access list does not exist
попробовал по другому ---
создаю неименнованную acl
Extended IP access list 2001
пытаюсь добавить правило
x600(config-ip-ext-acl)#permit tcp 192.168.100.0/24 192.168.101.11/32 eq 80
^
% Invalid input detected at '^' marker.

что не так? :roll:

используйте аппаратные фильтры (см док выше), а не extended

Re: настройка access-list

20 янв 2016, 19:14

Ginodman Mikhail писал(а):используйте аппаратные фильтры (см док выше), а не extended

можно и аппаратными. Просто хочу понять смысл использования экстендет фильтров?
Ответить