настройка access-list

Все что связано с маршрутизирующими коммутаторами и работе с ними

Модератор: Allied Telesis Russia

настройка access-list

Сообщение qazwer » 19 янв 2016, 14:46

Приветствую алл.
Нужна помощь в настройке access-list - коммутатор х 600 24 порта
конфигурация: два вилана vlan 100 - 192.168.100.0 и vlan 200 - 192.168.101.0
В vlan 200 торчит интерфейс vmware с VM win 7 c поднятым FTP сервером
задача - запретить подключения по ftp из vlan 100 (блин, вообще хоть что-то запретить :evil: :evil: :evil: :evil: )
три дня угробил - что только не пробовал - такое ощущение что access-list вообще не применяется. ну или я втупливаю капитально.. пытался запретить вообще весь трафик из подсети 192.168.101.0 - пофигу - все отлично бегает....
вообщем хелп
qazwer
 
Сообщения: 8
Зарегистрирован: 22 ноя 2014, 18:06

Re: настройка access-list

Сообщение Ginodman Mikhail » 19 янв 2016, 15:53

Ginodman Mikhail
Site Admin
 
Сообщения: 2521
Зарегистрирован: 29 янв 2008, 14:32
Откуда: AlliedTelesis Moscow

Re: настройка access-list

Сообщение qazwer » 20 янв 2016, 03:43

Огромный человеческий респект... Все хотелки реализовал :D Вроде и написано в большом мануле всё, но написан он явно не для людей :evil: :evil:
Есть ещё вопрос - создал такую acl-ку

Named Extended IP access list allowweb
10 permit tcp 192.168.100.0/24 192.168.101.11/32 eq 80
смысл - разрешить только www сервер. Как я понял, то что явно не разрешено, то запрещено.
Пытаюсь повесить её на порт и получаю отлуп
x600(config)#interface port1.0.2
x600(config-if)#access-list allowweb
^
% Invalid input detected at '^' marker.

x600(config-if)#access-group allowweb
% Access list does not exist
попробовал по другому ---
создаю неименнованную acl
Extended IP access list 2001
пытаюсь добавить правило
x600(config-ip-ext-acl)#permit tcp 192.168.100.0/24 192.168.101.11/32 eq 80
^
% Invalid input detected at '^' marker.

что не так? :roll:
qazwer
 
Сообщения: 8
Зарегистрирован: 22 ноя 2014, 18:06

Re: настройка access-list

Сообщение Ginodman Mikhail » 20 янв 2016, 10:06

qazwer писал(а):Огромный человеческий респект... Все хотелки реализовал :D Вроде и написано в большом мануле всё, но написан он явно не для людей :evil: :evil:
Есть ещё вопрос - создал такую acl-ку

Named Extended IP access list allowweb
10 permit tcp 192.168.100.0/24 192.168.101.11/32 eq 80
смысл - разрешить только www сервер. Как я понял, то что явно не разрешено, то запрещено.
Пытаюсь повесить её на порт и получаю отлуп
x600(config)#interface port1.0.2
x600(config-if)#access-list allowweb
^
% Invalid input detected at '^' marker.

x600(config-if)#access-group allowweb
% Access list does not exist
попробовал по другому ---
создаю неименнованную acl
Extended IP access list 2001
пытаюсь добавить правило
x600(config-ip-ext-acl)#permit tcp 192.168.100.0/24 192.168.101.11/32 eq 80
^
% Invalid input detected at '^' marker.

что не так? :roll:

используйте аппаратные фильтры (см док выше), а не extended
Ginodman Mikhail
Site Admin
 
Сообщения: 2521
Зарегистрирован: 29 янв 2008, 14:32
Откуда: AlliedTelesis Moscow

Re: настройка access-list

Сообщение qazwer » 20 янв 2016, 19:14

Ginodman Mikhail писал(а):используйте аппаратные фильтры (см док выше), а не extended

можно и аппаратными. Просто хочу понять смысл использования экстендет фильтров?
qazwer
 
Сообщения: 8
Зарегистрирован: 22 ноя 2014, 18:06


Вернуться в Коммутаторы 3го уровня

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 3