Kandu.dk - Catalyst 2950 - Access-lister ?


/ Forside / Teknologi / Netværk / TCP/IP / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

TCP/IP

#	Navn	Point
1	Per.Frede..	4668
2	BjarneD	4017
3	severino	2804
4	pallebhan..	1680
5	EXTERMINA..	1525
6	xou	1455
7	strarup	1430
8	Manse9933	1419
9	o.v.n.	1400
10	Fijala	1204

Catalyst 2950 - Access-lister ?
Fra : Brian Ipsen

Dato : 15-07-03 09:16

Hej!

Er det muligt at smide access-lister på fast-ethernet portene på en
Catalyst 2950 - altså så man blokerer/tillader trafik til visse
IP-adresser/services ??

/Brian

Kim Rubeck Jensen (15-07-2003)

Kommentar
Fra : Kim Rubeck Jensen

Dato : 15-07-03 12:41

Ja, da...

Feks

switch(config)# access-list 110 permit tcp any host 192.168.1.20 eq 25
switch(config)# interface fastethernet0/8
switch(config-if)# ip access-group 110 in

/Rubeck

"Brian Ipsen" <bipsen@andebakken.dk> wrote in message
news:3f13b962$0$13155$edfadb0f@dread15.news.tele.dk...
> Hej!
>
> Er det muligt at smide access-lister på fast-ethernet portene på en
> Catalyst 2950 - altså så man blokerer/tillader trafik til visse
> IP-adresser/services ??
>
> /Brian
>
>

Brian Ipsen (15-07-2003)

Kommentar
Fra : Brian Ipsen

Dato : 15-07-03 17:40

On Tue, 15 Jul 2003 13:41:24 +0200, "Kim Rubeck Jensen"
<kim@rubeck.dk> wrote:

>> Er det muligt at smide access-lister på fast-ethernet portene på en
>> Catalyst 2950 - altså så man blokerer/tillader trafik til visse
>> IP-adresser/services ??

>Ja, da...
>
>Feks
>
>switch(config)# access-list 110 permit tcp any host 192.168.1.20 eq 25
>switch(config)# interface fastethernet0/8
>switch(config-if)# ip access-group 110 in

ok, jeg får bare fejl ved følgende:

access-list 101 permit udp any host 192.168.1.161 eq domain
access-list 101 permit udp any host 192.168.1.162 eq domain
access-list 101 permit tcp any host 192.168.1.120 eq smtp
access-list 101 permit udp any host 192.168.1.118 eq snmptrap
access-list 101 deny ip any 192.168.1.0 0.0.0.255
access-list 101 deny ip any 192.168.3.0 0.0.0.255
access-list 101 deny ip any 192.168.10.0 0.0.0.255
access-list 101 deny ip any 192.168.81.0 0.0.0.255
access-list 101 permit ip any any

switch(config-if)#ip access-group 101 in
%Error: The field sets of all the ACEs in an ACL on Ethernet interface
should match.
Please refer to the Software Configuration Guide to understand one
mask restriction for ACLs on Ethernet interface.

Generelt vil jeg forbyde adgang til 192.168.3.0 nettet samt
192.168.1.0-nettet - dog lige pånær nogle enkelte hosts i 192.168.1.0
nettet....

/Brian

Kim Rubeck Jensen (15-07-2003)

Kommentar
Fra : Kim Rubeck Jensen

Dato : 15-07-03 19:38

Hmmm....

Copy / Paste fra nedenstående link:
This error message means that one or more of the ACEs in an ACL must have
the same mask.
Change the ACEs to have the same mask as the other ACEs in the ACL.

These error messages occur only if you have installed the enhanced software
image (EI) on your switch.

http://www.cisco.com/univercd/cc/td/doc/product/lan/cat2950/12113ea1/2950smg/msg_acl.htm

/Rubeck

"Brian Ipsen" <spammers@nowhere.net> wrote in message
news:seb8hvo14lgg91elodesvjuc7ffjgfkgtf@news.inet.tele.dk...
> On Tue, 15 Jul 2003 13:41:24 +0200, "Kim Rubeck Jensen"
> <kim@rubeck.dk> wrote:
>
> >> Er det muligt at smide access-lister på fast-ethernet portene på en
> >> Catalyst 2950 - altså så man blokerer/tillader trafik til visse
> >> IP-adresser/services ??
>
> >Ja, da...
> >
> >Feks
> >
> >switch(config)# access-list 110 permit tcp any host 192.168.1.20 eq 25
> >switch(config)# interface fastethernet0/8
> >switch(config-if)# ip access-group 110 in
>
> ok, jeg får bare fejl ved følgende:
>
> access-list 101 permit udp any host 192.168.1.161 eq domain
> access-list 101 permit udp any host 192.168.1.162 eq domain
> access-list 101 permit tcp any host 192.168.1.120 eq smtp
> access-list 101 permit udp any host 192.168.1.118 eq snmptrap
> access-list 101 deny ip any 192.168.1.0 0.0.0.255
> access-list 101 deny ip any 192.168.3.0 0.0.0.255
> access-list 101 deny ip any 192.168.10.0 0.0.0.255
> access-list 101 deny ip any 192.168.81.0 0.0.0.255
> access-list 101 permit ip any any
>
> switch(config-if)#ip access-group 101 in
> %Error: The field sets of all the ACEs in an ACL on Ethernet interface
> should match.
> Please refer to the Software Configuration Guide to understand one
> mask restriction for ACLs on Ethernet interface.
>
> Generelt vil jeg forbyde adgang til 192.168.3.0 nettet samt
> 192.168.1.0-nettet - dog lige pånær nogle enkelte hosts i 192.168.1.0
> nettet....
>
> /Brian

Brian Ipsen (16-07-2003)

Kommentar
Fra : Brian Ipsen

Dato : 16-07-03 06:51

On Tue, 15 Jul 2003 20:38:13 +0200, "Kim Rubeck Jensen"
<kim@rubeck.dk> wrote:

>Copy / Paste fra nedenstående link:
>This error message means that one or more of the ACEs in an ACL must have
>the same mask.
>Change the ACEs to have the same mask as the other ACEs in the ACL.
>
>These error messages occur only if you have installed the enhanced software
>image (EI) on your switch.
>
>
>http://www.cisco.com/univercd/cc/td/doc/product/lan/cat2950/12113ea1/2950smg/msg_acl.htm

Det havde jeg sådan set også selv fundet ud af - jeg er nu mere
interesseret i hvordan pokker jeg får mit filtrerings-problem løst...

/Brian

Søg

Reklame

Statistik

Spørgsmål :	177502
Tips :	31968
Nyheder :	719565
Indlæg :	6408538
Brugere :	218887

Månedens bedste

Årets bedste

Sidste års bedste