- 締切済み
PLANEX L3switch FML-24 ver2.2 のACLについて
こんにちは、始めて投稿します。 当方に不備などあれば、御指摘願います。 表題の機器にACLを適用しようと しますとエラーがでてしまいます。 #すいません、CLIでの操作時のエラーメッセージを #メモるの忘れてしまいました。 #webインターフェースで行った場合は「Data is #invalid」とでました。 以下に、設定内容を明記します。 考えられる状況や、ACLを適用するための方法を 御教授頂ければと思います。 何卒宜しくお願いします。 #表に出せない情報はXXXXとしています。 [行いたいこと] VLAN10に設定してあるインターフェースに ACL"test"を適用したい [行った作業1]CLI 末尾のコンフィグを入力してあるとします 1、コンソールへ「admin」でログイン 2、「configuer」と入力 3、「interface ethernet 1/1」と入力 4、「ip access-grup test in」と入力 → エラーメッセージ表示 [行った作業2] web ACLの設定画面より、inにて適用できるよう選択して 「Apply」をクリック → エラーメッセージ(ダイアログ)表示
- major_woga
- お礼率50% (2/4)
- その他([技術者向] コンピューター)
- 回答数3
- ありがとう数4
- みんなの回答 (3)
- 専門家の回答
みんなの回答
- kuma-ku
- ベストアンサー率54% (1558/2845)
- suzui
- ベストアンサー率67% (199/297)
- suzui
- ベストアンサー率67% (199/297)
コンフィグレーションを可能な限り全て書いてくだされば、何かコメントがつくかもしれません。 そもそもの疑問ですが、機種名は本当にFML-24ですか? FML-24Kの間違いではありませんか? もしそうならshow running-configの出力結果が適切だと思います。
補足
申し訳ございません。 御指摘ありがとうございます。 まず、機種名ですが、 FMLー24Kの間違いです。 configをつけたつもりでしたが、ついていなかったようです。 確認不足申し訳ございません。 以下、configなどです。 #インターフェースの設定を略していますが、 #その間は全て同じです。 [コンフィグ] Console#show run building running-config, please wait..... ! phymap XX-XX-XX-XX-XX-XX ! hostname fml-24k SNTP server 130.69.251.23 ! SNTP client SNTP poll 16384 clock timezone GMT hours 9 minute 0 after-UTC ! ! ! ! username admin access-level 15 username admin password 7 XXXXXXXXXXXXXXXXXXXXXX username guest access-level 0 username guest password 7 XXXXXXXXXXXXXXXXXXXX enable password level 15 7 XXXXXXXXXXXXXXXXXXXX ! ! logging history ram 6 logging history flash 3 ! ! ! ! ! VLAN database VLAN 1 name DefaultVlan media ethernet state active VLAN 10 name vlan10 media ethernet state active VLAN 20 name vlan20 media ethernet state active ! ! ! ! spanning-tree MST configuration ! ! ! ! ! ! access-list IP extended test deny host 192.168.1.0 any ! ! interface ethernet 1/1 switchport allowed vlan add 1,10 untagged switchport native vlan 1 map ip port 53 cos 7 ! <<<<<<<<<<<< 略 >>>>>>>>>>>>>>>>>>>> ! interface ethernet 1/6 switchport allowed vlan add 1,10 untagged switchport native vlan 1 map ip port 53 cos 7 ! interface ethernet 1/7 switchport allowed vlan add 1,20 untagged switchport native vlan 1 map ip port 53 cos 7 ! <<<<<<<<<<<<<< 略 >>>>>>>>>>>>>>>> ! interface ethernet 1/12 switchport allowed vlan add 1,20 untagged switchport native vlan 1 map ip port 53 cos 7 ! interface ethernet 1/13 switchport allowed vlan add 1 untagged switchport native vlan 1 map ip port 53 cos 7 ! <<<<<<<<<<<< 略 >>>>>>>>>>>>>>>>>>>>>>> ! interface ethernet 1/24 switchport allowed vlan add 1 untagged switchport native vlan 1 map ip port 53 cos 7 ! ! ! interface VLAN 1 ! interface VLAN 10 IP address AAA.AAA.AAA.202 255.255.255.252 ! interface VLAN 20 IP address BBB.BBB.BBB.89 255.255.255.248 ! ! ! ! ! ! ! ! ! ! IP route 0.0.0.0 0.0.0.0 AAA.AAA.AAA.201 metric 1 IP route 192.168.0.0 255.255.0.0 BBB.BBB.BBB.92 metric 1 ! ! ! ! ! ! ! no map IP precedence no map IP DSCP map IP port ! ! ! ! ! ! line console ! ! line VTY ! ! ! end ! Console# 宜しくお願いします。
関連するQ&A
- L2のACL
L2のACL L2のACLの設定について質問します。 access-list 100 deny icmp host 10.10.10.10 host 192.168.100.1 access-list 100 permit ip any any interface Vlan10 ip address 10.10.10.10 255.255.255.0 ip access-group 100 in ip access-group 100 out 上記の設定をした時に10.10.10.10→192.168.100.1の PINGが通過してしまいます。 本来はip access-group 100 outのみで良いと思いますが、 念のためinを追加設定しました。 Catalyst2960を利用してます。 回答をお願いします。
- ベストアンサー
- ネットワーク
- CiscoのACLのかけかたについて
よろしくお願いします。 Catalyst3550などのACLのかけかたで方向が混乱してしまいます。 行いたい内容は、 vlan30 <---> vlan10 :OK vlan30 <---> vlan20 :NG とした場合以下の設定は間違っていますよね?? ---> interface Vlan10 ip address 192.168.10.1 255.255.255.0 interface Vlan20 ip address 192.168.20.1 255.255.255.0 interface Vlan30 ip address 192.168.30.1 255.255.255.0 ip access-group v-30 in ip access-list extended v-30 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255 deny ip any any <--- この場合は、 ip access-group v-30 out とするか、 ip access-group v-30 in で、 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255 にするべきですよね?? 方向の考え方は、 in は入ってくるパケットで out は出て行くパッケトでよろしいでしょうか? なので、 in を使うとき、送信元は相手セグメント・送信先は自セグメント out を使うとき、送信元は自セグメント・送信先は相手セグメント という認識であっていますでしょうか? ※拡張ACLの場合 よろしくお願い致します。
- 締切済み
- ネットワーク
- ACL自動更新について
日本国内限定のACLを設定し、そのACLの更新を自動化するためにはどうしたらよいのでしょうか?(コマンドとして知りたいです)よろしくお願いします。 参考までに構成としてはcisco1812Jを使用し、WAN側f0 DMZ側f1 ローカル側vlan1とし、仮想インターフェースとしてunnumberedの設定もしています。(共有インターフェースF1)その他の設定としてPPPoE、NAToverloadを設定してます。
- 締切済み
- その他([技術者向] コンピューター)
- 包含関係のサブネットの設定方法
Cisco Catalyst4507スイッチにて、下記のように包含関係にあるサブネットに IPを設定したい場合、どのようにしたら設定できるのでしょうか? interface vlan 10 ip address 192.168.0.1 255.255.0.0 interface vlan 20 ip address 192.168.20.1 255.255.255.0 interface vlan 10を設定した後に、interface vlan 20に上記の IPを設定しようとすると、エラーメッセージが出てうまく設定できません。 エラーメッセージは「interface vlan 10 のネットワークとサブネット 範囲が重複しているため設定できません」といった内容でした。 何かしらの設定方法があるのか、それとも、そもそもこのような設定が できないものなのか、ご教授いただければと思います。 よろしくお願いします。
- 締切済み
- ネットワーク
- CiscoL3スイッチにテルネットできない
よろしくお願いいたします。 現在L3スイッチ(TEST)とL2スイッチ(TEST2)がありTESTのFa0/1がTEST2にトランク設定しています。TESTのFa0/2からPCが接続されています。VLAN100が設定されています。 PCからTEST・TEST2にPingはとびます。 PCからTEST2にはTELNETできますが、TESTにはTELNETできません。 コンフィグで拡張アクセスリストでTELNETは許可されていてVLAN100のInに設定されています。 この状態でTESTにTELNETできないのはコンフィグの設定なのかなと思うのですが 原因がわかりません。どうかご教授願います。 PCは192.168.1.15です。 ! hostname TEST ! no aaa new-model clock timezone JST 9 system mtu routing 1500 vtp domain A vtp mode transparent ip subnet-zero ip routing no ip domain-lookup ! no file verify auto spanning-tree mode pvst spanning-tree extend system-id ! vlan internal allocation policy ascending ! vlan 100 name TEST ! interface FastEthernet0/1 description /// to TEST2 /// switchport trunk encapsulation dot1q switchport mode trunk ! interface FastEthernet0/2 switchport access vlan 100 switchport mode access ! interface Vlan1 no ip address no ip route-cache cef no ip route-cache no ip mroute-cache shutdown ! interface Vlan100 ip address 192.168.1.254 255.255.255.0 ip access-group 200 in no ip route-cache cef no ip route-cache no ip mroute-cache ! ip classless no ip http server ip http secure-server ! ! access-list 200 permit ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255 access-list 200 permit tcp any eq telnet any access-list 200 permit icmp any any access-list 200 deny ip any any ! control-plane ! line con 0 password 7 ----------- login line vty 0 4 password 7 -------- login line vty 5 15 password 7 ----------- login ! end
- ベストアンサー
- ネットワーク
- catalyst L3SW aclの行数について
ネットで検索してみましたが、情報がえられませんでしたので、 こちらでご質問させていただきます。 現在、ある場所でネットワークの設計をしていて そこで各catalyst L3SW でACLの設計をしています。 そこでご質問なのですが、ACLの行数について 各catalyst で、これ以上増やすとよくないなどの制限ってありますでしょうか。 どう設計しても200行から減らすことができず、そのまま適用したいのですが、 行数が多いとTCAMへの負荷が高く、「Acl Tcam Full」とエラーメッセージがでて ハードウェア処理からソフトウェア処理に移行するといったページをみました。 ただ、どのくらいで移行するのかの目安がわからず困っています。 対象機器は、Catalyst 6506、3750G です。 よろしくお願いします。
- ベストアンサー
- ネットワーク
- catalystスイッチの正常性確認について
Catalyst2950とCatalyst3750にコンフィグを投入してみました。 そこできっちりコンフィグが入っているか確認をするために Catalyst2950にinterface Vlan180というのを作成して ip address 10.200.163.240 255.255.252.0という設定を行いました。 そして正常性確認として自分のパソコンのアドレスを 10.200.163.241など/22のアドレスを設定してLANケーブルを 空いているポートに挿してpingを飛ばしてみましたがpingが飛ばないです これは、各ポートに違うVlanをaccessポートに割り当てているからでしょうか? ここは各ポートに割り当てたVlanの番号にアドレスをふり そのアドレスの範囲で端末のアドレスを割り当てるべきだったでしょうか? そうするとどのようにして確認を行えばよろしいでしょうか? 事前と事後のコンフィグ差分チェック以外に 機器単体での正常性確認は出来ないものでしょうか? Catalyst3750につきましては、ポート1~ポート21までそれぞれ Vlanを割り当てました。そして、3750へ端末を接続するために interface vlan 番号とip address の設定をすることにより 端末のゲートウエイを設定しました。そしてそれぞれの端末間 通信するためにip routingコマンドを投入しました。 この状態でshow ip routeすると正常だと直接接続のrouteが見えると 思っていましたが見えませんでした。そもそも端末を接続しないと 見えないものでしょうか? またCatalyst3750についての正常性確認方法は どのようにすればよろしいでしょうか?
- 締切済み
- ネットワーク
- インターフェイスが2つあるワークステーションとL3スイッチの絡みで・・・
とあるネットワーク構成図を見て、疑問に思った点を質問させていただきます。 [WS-A]------[L3スイッチ]---[L2スイッチA]---[WS-B] | | |---------[L2スイッチB]----------| 【コンフィグ内容】 WS-A IPアドレス 【192.168.1.100】 L3にはVLANインターフェイスが設定してあり、 ※VLAN1インターフェイス IP:192.168.1.1 対向先:ワークステーションのポートA 192.168.1.2 ※VLAN2インターフェイス IP:192.168.2.1 対向先:ワークステーションのポートB 192.168.2.2 ※WS-BのデフォルトゲートウェイはL3スイッチのVLAN1インターフェイスIP:192.168.1.1となっています。 この時、WS-AからpingやTelnetをした場合、要求パケット経路は WS-A⇒L3スイッチ⇒L2スイッチA⇒WS-BのポートA となっていて、 応答パケットは WS-B⇒L2スイッチA⇒L3スイッチ⇒WS-A となっています。 【質問】 ここで、L2スイッチAを落します。 そしてWS-AからWS-BのポートB向けにpingを打った時、要求は大丈夫ですが、応答が出来るか疑問です。 WS-Bから見たデフォルトゲートウェイはVLAN1インターフェイス IP:192.168.1.1 なので、WS-Aから打ったpingは通信不能になりませんでしょうか? デフォルトゲートウェイは直結じゃないと駄目なような気もするので駄目かとは思うのですが、ひょっとしたらWS-BのポートB 192.168.2.2から送信され、L3スイッチ192.168.2.1に届き、L3スイッチで内部ルーティングされ、192.168.1.1になり、WS-Aに返される。 そんな動きしませんでしょうか?
- ベストアンサー
- その他([技術者向] コンピューター)
- Cisco 1841 interface vlan
新規で購入した1841のvlan1にIPアドレスを付与しようとしているのですが、 config terminalに入った後 interface vlan1がありません。 1812や800シリーズのような近いルータにもvlan1インターフェースはあったのですが、 1841のみ無いってことはないと思うのですが、Vlanをenableなどする必要はあるのでしょうか。 ちなみにインターフェースは0/0と0/1のみ存在しており、どちらも no ip addressです。 又、一時的に完全にすべての外部からSSHでアクセスさせる場合の設定はどのようにすればよろしいでしょうか。 よろしくお願いします。
- ベストアンサー
- ネットワーク
- CiscoスイッチのVLANにFTPとNTPを許可したい(ftp通信のアクセスリストについて)
FTPとNTPの通信について困っているので教えてください。 下記内容で、アクセスリストを作成し、FTPとNTPの通信を許可したいのですが、うまく行かず困っております。 どなたかお分かりになる方がいらっしゃいましたら、ご教授お願い致します。 -------------------------------------------------- ●構成 〔any〕- 〔スイッチVlan3〕-〔サーバ〕 interface3 ●ACL access-list 101 permit tcp any any eq ftp access-list 101 permit tcp any any eq ftp-data access-list 101 permit udp any eq ntp any eq ntp access-list 101 permit tcp any any eq 443 access-list 101 permit udp any any access-list 101 permit tcp any any established ●VLANにACLを適用 interface vlan 3 ip access-group 101 in ----------------------------------------------------- ポートが開放されているかどうかの確認方法を知らないため、httpsで確認出来るよう443を追加しました。 しかし、httpsは通信出来るのですがFTPにおいては、どうやらこれではうまく通信出来ないようなのです。 具体的に間違っているところを教えていただけると幸いです。 どうぞよろしくお願いします。
- ベストアンサー
- ネットワーク
お礼
確認をしましたがダメでした。 状況は同じです。 ip access-group test in を入力すると、はじかれてしまいました。 ちなみに、ファームをV1.6に落して行ってみましたが、 メッセージは違いますが、同じような結果でした。 ここの使いかたが良く分からなかったので、 「お礼」より記入をさせて頂きました。 御回答ありがとうございます。
補足
御教授ありがとうございます。 機器が客先にあるため、さっそくアポをとって 確認をしてみます。(少々お時間を頂きたく思います)