Хочу сделать возвратный (reflexive) ac, чтобы потом применить его на исходящем трафике. Сложность в том, что когда по докам можно выполнить:
ip access-group outlist_ac out
out не принимается. нет дополнения на out. есть только на in, а без out, я так понял, фишка работать не будет. может ли это быть связано с состоянием инитерфейся или чем-то другим? на что обратить внимание. cisco 35xx серии.
> Хочу сделать возвратный (reflexive) ac, чтобы потом применить его на исходящем
>трафике. Сложность в том, что когда по докам можно выполнить:
>ip access-group outlist_ac out
>out не принимается. нет дополнения на out. есть только на in, а
>без out, я так понял, фишка работать не будет. может ли
>это быть связано с состоянием инитерфейся или чем-то другим? на что
>обратить внимание. cisco 35xx серии.я так понимаю, что Вы на коммутаторе хотите повесить ALC для out на физическом интерфейсе? По-моему, это не получится, на out можно повесить только на vlan интерфейс.
>я так понимаю, что Вы на коммутаторе хотите повесить ALC для out
>на физическом интерфейсе? По-моему, это не получится, на out можно повесить
>только на vlan интерфейс.Да, я пытался на физический, потому что прочел в документации это:
interface ethernet 0
ip address 10.10.1.1 255.255.255.0
ip access-group 110 in
ip access-group 115 outС другой стороны, логично, что чтобы агрегировать весь исходящий, то удобнее вешать на vlan.
Я обратился к возвратным спискам, потому что не сразу увидел, что можно прописывать для tcp соединений
established флаг.
Я правильно понимаю, что нет команды, которая применила бы асл к нескольким физ. портам сразу?
>Да, я пытался на физический, потому что прочел в документации это:
>interface ethernet 0
>ip address 10.10.1.1 255.255.255.0
>ip access-group 110 in
>ip access-group 115 outА можно сцылку дать на источник, где указано такое?
>С другой стороны, логично, что чтобы агрегировать весь исходящий, то удобнее вешать
>на vlan.Ага, логично, если учесть, что список третьего уровня, а коммутатор второго уровня, т.е. по мак-адресу определяется порт, а не по ип, т.е. для одной и тойже ип подсети не всегда один и тотже физический порт.
>Я обратился к возвратным спискам, потому что не сразу увидел, что можно
>прописывать для tcp соединений
>established флаг.
>Я правильно понимаю, что нет команды, которая применила бы асл к нескольким
>физ. портам сразу?да, правильно.
>
>А можно сцылку дать на источник, где указано такое?Боюсь, что пока только такую:
Руководство по Cisco IOS. Дж. Бони.
она же
Cisco IOS in Nutshell. Second Edition. James Boney.
https://www.opennet.ru/base/cisco/access_list_intro.txt.html