ACL na switchu
ACL na switchu
Witam,
Czy na switchu 2960 można przypisać do portu ACL, które zablokuje mi wyjście na port 80 a pozwoli na całą resztę (blokada www)?? Czy takie rzeczy to tylko na routerze ewentualnie sw L3?
Pozdrawiam
Czy na switchu 2960 można przypisać do portu ACL, które zablokuje mi wyjście na port 80 a pozwoli na całą resztę (blokada www)?? Czy takie rzeczy to tylko na routerze ewentualnie sw L3?
Pozdrawiam
Jaki dokładnie 2960, bo jest tu kilka opcji i jaki obraz IOS/feature set?
Daj "show version" i będzie wszystko jasne.
Jeszcze napisz jaki jest cel ćwiczenia? Wsparcie funkcjonalności to jedno, a zasadność i użycie optymalnego rozwiązania dla danego setupu, to inna kwestia.
Daj "show version" i będzie wszystko jasne.
Jeszcze napisz jaki jest cel ćwiczenia? Wsparcie funkcjonalności to jedno, a zasadność i użycie optymalnego rozwiązania dla danego setupu, to inna kwestia.
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."
A. Einstein
A. Einstein
Cisco IOS Software, C2960 Software (C2960-LANBASEK9-M), Version 12.2(58)SE1,
Generalnie chcę zrobić takie coś,
Mam do mojej sieci wpiętą centralę telefoniczną zarządzaną przez www (zarządzać będzie nią zewn. firma). Chcę aby na porcie do którego jest ona wpięta był dozwolony ruch tylko dla www + ping a cała reszta ruchu zblokowana (trochę inaczej niż pisałem). I się zastanawiam czy można to zrobić ACLami czy trzeba będzie pomyśleć nad osobnym VLANem.
O ile taki wpis "access-list 100 permit icmp host A.B.C.D any" rozwiązuje mi problem pingu o tyle już nie wiem jak sobie poradzić z pozwoleniem na ruch tylko po porcie 80.
Generalnie chcę zrobić takie coś,
Mam do mojej sieci wpiętą centralę telefoniczną zarządzaną przez www (zarządzać będzie nią zewn. firma). Chcę aby na porcie do którego jest ona wpięta był dozwolony ruch tylko dla www + ping a cała reszta ruchu zblokowana (trochę inaczej niż pisałem). I się zastanawiam czy można to zrobić ACLami czy trzeba będzie pomyśleć nad osobnym VLANem.
O ile taki wpis "access-list 100 permit icmp host A.B.C.D any" rozwiązuje mi problem pingu o tyle już nie wiem jak sobie poradzić z pozwoleniem na ruch tylko po porcie 80.
no a takie coś ? lub coś w ten deseń.
http://www.cisco.com/c/en/us/td/docs/sw ... swacl.html
Kod: Zaznacz cały
access-list 100 permit tcp host X.X.X.X host X.X.X.X eq 80
Ups I switched again =)
Próbowałem takiej reguly "access-list 100 permit TCP host A.B.C.D any eq 80"
Jednak blokowało mi to tak jakby nie brał jej pod uwagę i szedł do ostatniej reguły deny any any generalnie zachowuje się tak jakby nie czytał reguł z portami stąd moje pytanie czy na sw L2 można stosować reguły warstwy L3 (oparte na portach) w przykładach cisco niby były
Jednak blokowało mi to tak jakby nie brał jej pod uwagę i szedł do ostatniej reguły deny any any generalnie zachowuje się tak jakby nie czytał reguł z portami stąd moje pytanie czy na sw L2 można stosować reguły warstwy L3 (oparte na portach) w przykładach cisco niby były
-
- CCIE / Instruktor CNAP
- Posty: 183
- Rejestracja: 04 maja 2005, 16:58
- Lokalizacja: PJATK Cisco Academy
- Kontakt:
może kierunek ruchu pakietów na port 80 jest niezgodny z Twoją access-listą
tomekf
tomekf
Cisco Academy http://acs.pjwstk.edu.pl