- 締切済み
Catalyst2960S MAC ACLの設定
noname#161097の回答
Catalyst2960Sに、 Switch(config)#arp access-list NAS(name) Switch(config-arp-nacl)#deny host IP ADRESS mac host MAC ADRESS Switch(config-arp-nacl)#end 確認コマンド Switch#show arp access-list インターフェースに Switch(config)#interface NASのつながっているポート Switch(config-if)#ip access-group NAS(name) in Switch(config-if)#end 確認コマンド Switch#show ip interface Switch#show access-lists この手順で、どうでしょうか。 最後に、手順は、アクセスリストを書いてから、グループを書くように。 反対にすると、間違った時に、通信断になります。
関連するQ&A
- catalyst L3SW aclの行数について
ネットで検索してみましたが、情報がえられませんでしたので、 こちらでご質問させていただきます。 現在、ある場所でネットワークの設計をしていて そこで各catalyst L3SW でACLの設計をしています。 そこでご質問なのですが、ACLの行数について 各catalyst で、これ以上増やすとよくないなどの制限ってありますでしょうか。 どう設計しても200行から減らすことができず、そのまま適用したいのですが、 行数が多いとTCAMへの負荷が高く、「Acl Tcam Full」とエラーメッセージがでて ハードウェア処理からソフトウェア処理に移行するといったページをみました。 ただ、どのくらいで移行するのかの目安がわからず困っています。 対象機器は、Catalyst 6506、3750G です。 よろしくお願いします。
- ベストアンサー
- ネットワーク
- catalyst の DHCPリレーの設定について
DHCPリレーの設定についてご教示ください。 以下の設定で、L2sw の Gi0/2 に接続されたDHCPクライアント(192.168.3.0)が、L2sw の Gi0/1 に接続されたDHCPサーバ(192.168.2.10)よりIP取得ができません。 なお、クライアントに固定IP(192.168.3.0)を与えた場合、問題なくDHCPサーバにL3swを経由し疎通できていることを確認しています。 なお、DHCPサーバの設定は、問題ないものと仮定させていただきます。 些細な情報でも構いませんので、何卒よろしくお願い致します。 ■L3sw(catalyst3750:version 12.2) ・Gi1/0/1 には、関係のないL2スイッチが接続 (FW:192.168.2.100が接続されている) ・Gi2/0/1 には、L2sw(catalyst2960G)が接続 ip routing ! interface GigabitEthernet1/0/1 switchport trunk encapsulation dot1q switchport mode trunk ! interface GigabitEthernet2/0/1 switchport trunk encapsulation dot1q switchport mode trunk ! interface vlan1 ip address 192.168.1.1 255.255.255.0 interface vlan2 ip address 192.168.2.1 255.255.255.0 interface vlan3 ip address 192.168.3.1 255.255.255.0 ip helper-address 192.168.2.10 ip route 0.0.0.0 0.0.0.0 192.168.2.100 ■L2sw(catalyst2960G:version 12.2) ・Gi0/1 には、DHCPサーバ(192.168.2.10)が接続 ・Gi0/2 には、DHCPクライアントが接続 ・Gi0/48には、L3sw(catalyst3750)が接続 interface GigabitEthernet0/1 switchport access vlan 2 switchport mode access ! interface GigabitEthernet0/2 switchport access vlan 3 switchport mode access ! interface GigabitEthernet0/48 switchport mode trunk ! interface vlan1 ip address 192.168.1.2 255.255.255.0 interface vlan2 ip address 192.168.2.2 255.255.255.0 interface vlan3 ip address 192.168.3.2 255.255.255.0 ! ip default-gateway 192.168.1.1
- 締切済み
- ネットワーク
- catalystの設定について
2つのLANを接続するのにcatalyst3560-24を利用します。 L3スイッチの設定で3点ご質問があります。 仕様 ・LAN10,LAN20は既存のLANでL2SWによりSTPが設定されている。 ・2台のL3SWでホットスタンバイ構成にしVLAN10,20間を結ぶ ・VLAN10を1~10ポート、VLAN20を11~20ポートに割当てる LAN20 ----------- --------- | L2SW-A |----------------------| L2SW-B | ----------- ------- | | |p11 |p11 ----------------- ------------------ |VLAN20 p11~20 |p23 p23 |VLAN20 p11~20 | | L3SW-1(main) |-------------- | L3SW-2(sub) | |VLAN10 p1~10 | VLAN30(TRUNK) |VLAN10 p1~10 | ------------------ ---------------- |p1 |p1 | | ------- -------- |L2SW-1| ------------------ |L2SW-2| ------- --------- LAN10 1、スイッチをホットスタンバイ構成とするためにHSRPを使用します。 HSRPはポート単位の制御は可能なのでしょうか? 例えばL3SW-1のVLAN10のp2~10にサーバなどを設置し、 p1のリンクが切れた際、subに切り替わる設定は可能でしょうか? 2、L3SWでSTPの設定をする必要はあるのでしょうか? また、L3SWを接続した際は一時的にネットワークが再構成される のでしょうか? 3、VLAN10側のL3SW-1のp2とL2SW-2、L3SW-2のP2とL2SW-1をたすきがけ に接続して冗長構成をとることも考えています。 この場合、L3SWのSTP設定と実際に接続する際に気をつけることは あるのでしょうか? 現在ネットワーク構成を考えていて非常に困っています。 どうぞよろしくお願い致します。
- ベストアンサー
- ネットワーク
- L2のACL
L2のACL L2のACLの設定について質問します。 access-list 100 deny icmp host 10.10.10.10 host 192.168.100.1 access-list 100 permit ip any any interface Vlan10 ip address 10.10.10.10 255.255.255.0 ip access-group 100 in ip access-group 100 out 上記の設定をした時に10.10.10.10→192.168.100.1の PINGが通過してしまいます。 本来はip access-group 100 outのみで良いと思いますが、 念のためinを追加設定しました。 Catalyst2960を利用してます。 回答をお願いします。
- ベストアンサー
- ネットワーク
- CiscoルーターACL
A・・・192.168.11.0/24セグメント B・・・172.16.12.0/24セグメント 以下要件を満たしたいのですが、上手くいきません [要件] 1.192.168.11.49が、デフォルトゲートウェイであり、80番通信以外は許可したい。(管理画面が見えるため) 2.172.16.12.0から、192.168.11.0セグメントへの通信は、拒否したい(icmpはOK) 3.192.168.11.11から172.16.12.0端末への通信は全て許可する。(RDPとか、ファイルコピーしたいため) [作成したACL] access-list 100 deny tcp 172.16.12.0 0.0.0.255 host 192.168.11.49 eq 80 access-list 100 permit ip 172.16.12.0 0.0.0.255 host 192.168.11.49 access-list 100 deny ip 172.16.12.0 0.0.0.255 192.168.11.0 0.0.0.255 access-list 100 permit ip any any ip access-group 100 in [概略図] 192.168.11.0/24セグメント-------(fa0/0)ルーター(fa0/1)-------172.16.12.0/24セグメント fa0/1のinバウンドにACLを設定。 [質問] 2のicmpも現在通らないのですが、これはicmp許可すれば通るとおもうので問題ではないのですが、 3の条件が満たせません。 →私自身、192.から172にRDP通信を行ったとき、fa0/0にはACLを設定しておらず、192からのRDPがとおるので、172からの応答はinバウンドのACLに引っかからないと思っていたのですが、 access-list 100 deny ip 172.16.12.0 0.0.0.255 192.168.11.0 0.0.0.255 に 引っかかって通信が成功しません。 どなたか解決方法をご存知の方がいらっしゃいましたら ご教授のほう宜しくお願いします。
- ベストアンサー
- ネットワーク
- CiscoのACLのかけかたについて
よろしくお願いします。 Catalyst3550などのACLのかけかたで方向が混乱してしまいます。 行いたい内容は、 vlan30 <---> vlan10 :OK vlan30 <---> vlan20 :NG とした場合以下の設定は間違っていますよね?? ---> interface Vlan10 ip address 192.168.10.1 255.255.255.0 interface Vlan20 ip address 192.168.20.1 255.255.255.0 interface Vlan30 ip address 192.168.30.1 255.255.255.0 ip access-group v-30 in ip access-list extended v-30 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255 deny ip any any <--- この場合は、 ip access-group v-30 out とするか、 ip access-group v-30 in で、 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255 にするべきですよね?? 方向の考え方は、 in は入ってくるパケットで out は出て行くパッケトでよろしいでしょうか? なので、 in を使うとき、送信元は相手セグメント・送信先は自セグメント out を使うとき、送信元は自セグメント・送信先は相手セグメント という認識であっていますでしょうか? ※拡張ACLの場合 よろしくお願い致します。
- 締切済み
- ネットワーク
- catalystのブリッジについて
catalystのブリッジ接続についてですが 言葉を聞いてブリッジとはどういった事をいうものでしょうか? ブリッジ接続をすると言われてもよく意味がわからないです。 ブリッジ=橋→L3スイッチならip routing コマンドで VLAN間通信の事ですかね? もしL2スイッチならばどういうことでしょうか? そもそもブリッジの意味がわかっていないので イメージが間違っているのかもわかりませんが。 他に言われる意味はありますか?
- 締切済み
- ネットワーク
- Catalyst EXpress520のカスケード接続
L2スイッチのCatalyst 2960-24TT-L(以下(1))とCatalyst Express 520-24TT(以下(2))をカスケード接続しようとしています。 (1)にはホスト名とIPアドレスを設定していますが、(2)は何も設定していません。 この状態で(2)にPC等を接続し、pingを実行すると応答してくれません。 できれば(2)にIPアドレスを振らないで接続可能となる方法があれば教えてください。
- ベストアンサー
- ネットワーク
- ルータ及びネットワークについての質問です!
IPアドレス、そのたネットワークの設定 今、小規模なネットワークの構築をしているのですが (研修の課題です) cisco1600シリーズのルータ×1 catalyst2900シリーズSW×2 PC(windows2003) ×2 これらの機材を用い PC1 192.168.0.1/24 │ GW 192.168.0.254 │ L2 SW │ │eth0 192.168.0.254/24 router │eth1 10.0.0.254/24 │ L2 sw │ │ 10.0.0.1 PC2 GW 10.0.0.254 という風に繋いでいます。 自分なりに設定をしてみてつないでみたのですが、 PC1-PC2間でのpingが通りません。 ハイパーターミナルでルータに入り pingで各PC(10.0.0.1、192.168.0.1) を指定するとpingが通ります。 わかりりづらく申し訳ありません:: 何か不足があれば補足いたしますので どうがご教授御願いいたします。 質問 1、pingがどうすれば通るか いろいろ思いつく限り試してみたのですが通りません・・・ 2、l2スイッチは基本的に通信を通すだけ?のため、とくに設定は不要で、vlanはtelnetなどを通し通信する場合、指定するために必要。という解釈で大丈夫か 以上 お答えしていただけたら嬉しいです。
- ベストアンサー
- ネットワーク