https://opennet.ru/openforum/vsluhforumID6/1988.html Добрый день!<br>строю access-list чтобы пропускал только определенные ip на портах, но что-то пускает все подряд. <br>Итак по порядку:<br><br>500-switch&gt;show ver <br>Cisco IOS Software, C2960 Software (C2960-LANBASE-M), Version 12.2(35)SE5, RELEASE SOFTWARE (fc1) <br>Copyright (c) 1986-2007 by Cisco Systems, Inc. <br>Compiled Thu 19-Jul-07 20:06 by nachen <br>Image text-base: 0x00003000, data-base: 0x00D40000 <br><br>ROM: Bootstrap program is C2960 boot loader <br>BOOTLDR: C2960 Boot Loader (C2960-HBOOT-M) Version 12.2(25r)SEE6, RELEASE SOFTWARE (fc1) <br><br>500-switch uptime is 20 hours, 2 minutes <br>System returned to ROM by power-on <br>System image file is "flash:c2960-lanbase-mz.122-35.SE5/c2960-lanbase-mz.122-35.SE5.bin" <br><br>cisco WS-C2960-24TT-L (PowerPC405) processor (revision F0) with 61440K/4088K bytes of memory. <br>Processor board ID FOC1233Y0U7 <br>Last reset from power-on <br>1 Virtual Ethernet interface <br>24 FastEthernet interfaces <br>2 Gigabit Ethernet interfaces <br>The password-recovery mechanism is enabled. <br><br>64K bytes of fl https://opennet.ru/openforum/vsluhforumID6/1988.html#16 Thu, 07 Jul 2016 04:20:35 GMT в порядке бреда - попробуй принудительно access режим на порту выставить:<br><br> switchport mode access<br> switchport nonegotiate<br> https://opennet.ru/openforum/vsluhforumID6/1988.html#15 Thu, 07 Jul 2016 04:08:46 GMT &gt; Завтра проверю на точно таком-же свиче у себя. На 3560 все работает, <br>&gt; но они поумнее.<br><br>Проверил. Все работает.<br><br>[code]<br>#show ver<br>Cisco IOS Software, C2960 Software (C2960-LANBASEK9-M), Version 12.2(55)SE5, RELEASE SOFTWARE (fc1)<br>Technical Support: http://www.cisco.com/techsupport<br>Copyright (c) 1986-2012 by Cisco Systems, Inc.<br>Compiled Thu 09-Feb-12 19:11 by prod_rel_team<br>Image text-base: 0x00003000, data-base: 0x01900000<br><br>ROM: Bootstrap program is C2960 boot loader<br>BOOTLDR: C2960 Boot Loader (C2960-HBOOT-M) Version 12.2(53r)SEY3, RELEASE SOFTWARE (fc1)<br><br>sw-uti-omts24t05 uptime is 18 weeks, 2 days, 20 hours, 1 minute<br>System returned to ROM by power-on<br>System restarted at 14:01:49 TYM Mon Feb 29 2016<br>System image file is "flash:/c2960-lanbasek9-mz.122-55.SE5/c2960-lanbasek9-mz.122-55.SE5.bin"<br><br><br>This product contains cryptographic features and is subject to United<br>States and local country laws governing import, export, transfer and<br>use. Delivery of Cisco cryptographic products does not https://opennet.ru/openforum/vsluhforumID6/1988.html#14 Wed, 06 Jul 2016 12:44:38 GMT Завтра проверю на точно таком-же свиче у себя. На 3560 все работает, но они поумнее.<br> https://opennet.ru/openforum/vsluhforumID6/1988.html#13 Wed, 06 Jul 2016 11:18:28 GMT &gt;&gt;&gt; Кто же к цискам ногами-то ходит??? Telnet и SSH придумали очень давно.<br>&gt;&gt; ну по сериалу надежнее. ок, обновил до c2960-lanbasek9-tar.150-2.SE9 ничего не изменилось <br>&gt; Давай уже полный конфиг. и методику проверки.<br><br>!<br>version 15.0<br>no service pad<br>service timestamps debug uptime<br>service timestamps log uptime<br>no service password-encryption<br>!<br>hostname 500-switch<br>!<br>boot-start-marker<br>boot-end-marker<br>!<br>enable secret 5 $1$/WQ7$ARWSO5XzUqbMWq8OjOtlt0<br>enable password cisco<br>!<br>no aaa new-model<br>clock timezone EET 2 0<br>system mtu routing 1500<br>!<br>!<br>!<br>!<br>!<br>!<br>!<br>!<br>!<br>!<br>spanning-tree mode pvst<br>spanning-tree extend system-id<br>!<br>vlan internal allocation policy ascending<br>!<br>!<br>!<br>!<br>!<br>!<br>interface FastEthernet0/1<br> ip access-group 1 in<br>!<br>interface FastEthernet0/2<br> ip access-group 2 in<br>!<br>interface FastEthernet0/3<br> ip access-group fl3 in<br>!<br>interface FastEthernet0/4<br> ip access-group 4 in<br>!<br>interface FastEthernet0/5<br> ip access-group 5 in<br>!<br>interface FastEthernet0/6<br> ip access-group 6 in https://opennet.ru/openforum/vsluhforumID6/1988.html#12 Wed, 06 Jul 2016 11:13:20 GMT &gt;&gt; Кто же к цискам ногами-то ходит??? Telnet и SSH придумали очень давно.<br>&gt; ну по сериалу надежнее. ок, обновил до c2960-lanbasek9-tar.150-2.SE9 ничего не изменилось <br><br>Давай уже полный конфиг. и методику проверки.<br> https://opennet.ru/openforum/vsluhforumID6/1988.html#11 Wed, 06 Jul 2016 07:12:23 GMT &gt; Кто же к цискам ногами-то ходит??? Telnet и SSH придумали очень давно. <br><br>ну по сериалу надежнее. ок, обновил до c2960-lanbasek9-tar.150-2.SE9 ничего не изменилось<br> https://opennet.ru/openforum/vsluhforumID6/1988.html#10 Wed, 06 Jul 2016 03:26:02 GMT Кто же к цискам ногами-то ходит??? Telnet и SSH придумали очень давно.<br> https://opennet.ru/openforum/vsluhforumID6/1988.html#9 Tue, 05 Jul 2016 11:47:03 GMT &gt;&gt;&gt; Все должно работать при минимальных движениях: <br>&gt;&gt;&gt; а)#access-list 1 permit 192.168.22.1 <br>&gt;&gt;&gt; б)#ip access-group 1 in (интерфейс на котором будут применяться правила из списка <br>&gt;&gt;&gt; Вывод #sh access-lists в Extended ACL последнее правило deny ip any <br>&gt;&gt;&gt; any ?<br>&gt;&gt;&gt; Возможно схема сети поможет решить проблему. Но для начала учитывайте вышенаписанное.<br>&gt;&gt; должно, но не работает :( <br>&gt; Ибо deny ip any any - это есть расширенный ACL.<br><br>хорошо,<br><br>interface FastEthernet0/3<br>ip access-group fl3 in<br><br>ip access-list extended fl3<br>permit ip host 192.168.22.1 any<br>deny ip any any<br><br>&gt;&gt; схема сети: <br>&gt; Графический вариант, пожалуйста.<br><br>упростим задачу : к 3-му порту циски подключен 1 комп с ip 192.168.21.3, а разрешено только 192.168.22.1 (исходя из настроек выше) при этом 192.168.21.3 свободно ходит куда хочет<br><br>&gt;&gt; обновить теперь циску проблемно - стоит уже в серверной, снимать не очень <br>&gt;&gt; хочется, или обновление ios решит проблему?<br>&gt; Для того, чтобы обновить IOS, демонтировать железку необязательно.<br><br>о https://opennet.ru/openforum/vsluhforumID6/1988.html#8 Tue, 05 Jul 2016 11:23:37 GMT &gt;&gt; Все должно работать при минимальных движениях: <br>&gt;&gt; а)#access-list 1 permit 192.168.22.1 <br>&gt;&gt; б)#ip access-group 1 in (интерфейс на котором будут применяться правила из списка <br>&gt;&gt; Вывод #sh access-lists в Extended ACL последнее правило deny ip any <br>&gt;&gt; any ?<br>&gt;&gt; Возможно схема сети поможет решить проблему. Но для начала учитывайте вышенаписанное.<br>&gt; должно, но не работает :( <br><br>Ибо deny ip any any - это есть расширенный ACL.<br><br><br>&gt; схема сети: <br><br>Графический вариант, пожалуйста.<br><br><br>&gt; обновить теперь циску проблемно - стоит уже в серверной, снимать не очень <br>&gt; хочется, или обновление ios решит проблему?<br><br>Для того, чтобы обновить IOS, демонтировать железку необязательно.<br><br>