27
Cisco ASA 5505 mit ACLs einrichten
Hallo miteinander,
ich würde gerne meine ASA 5505 (8.0(2)) einrichten.
Mein Netz soll sein:
DSL-->ASA(192.168.1.1)---> Client1(192.168.1.2)
---> Client2(192.168.1.3)
Also die ASA soll sich ins DSL einwählen und Verbindung aufbauen.
Client1 soll ins Internet dürfen, für Client2 soll dies verboten sein. Jedoch kommuniaktion untereinander soll erlaubt sein. Das ganze denke ich mal, würde ich mit ACL's realisieren.
DSL einwahl etc. pp ist kein Problem, das ist bereits eingerichtet.
Ich bin bisher über das GUI den ASDM vorgegangen, aber ich glaube das bringt mich nicht weiter, auch da es hierfür keine Anleitungen im Netz gibt.
0/0 habe ich für PPPOE konfiguriert.
Kann mir jemand weiterhelfen? Die Doku der Cisco ist ziemlich umfangreich und mir fällt es schwer, das passende rauszufinden. Hat jemand eine Beispielkonfig?
Gruß
ich würde gerne meine ASA 5505 (8.0(2)) einrichten.
Mein Netz soll sein:
DSL-->ASA(192.168.1.1)---> Client1(192.168.1.2)
---> Client2(192.168.1.3)
Also die ASA soll sich ins DSL einwählen und Verbindung aufbauen.
Client1 soll ins Internet dürfen, für Client2 soll dies verboten sein. Jedoch kommuniaktion untereinander soll erlaubt sein. Das ganze denke ich mal, würde ich mit ACL's realisieren.
DSL einwahl etc. pp ist kein Problem, das ist bereits eingerichtet.
Ich bin bisher über das GUI den ASDM vorgegangen, aber ich glaube das bringt mich nicht weiter, auch da es hierfür keine Anleitungen im Netz gibt.
0/0 habe ich für PPPOE konfiguriert.
Kann mir jemand weiterhelfen? Die Doku der Cisco ist ziemlich umfangreich und mir fällt es schwer, das passende rauszufinden. Hat jemand eine Beispielkonfig?
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 84263
Url: https://administrator.de/contentid/84263
Printed on: April 19, 2024 at 00:04 o'clock
27 Comments
Latest comment
Anti-Man,
Beispiel:
Ungetestete Config....
Grüße
Dani
Ich bin bisher über das GUI den ASDM vorgegangen, aber ich glaube das bringt mich nicht
weiter, auch da es hierfür keine Anleitungen im Netz gibt
Die GUI ist auch bei Cisco nur ein kl. Hilfsmittel. Normal wird alles über die Konsole bzw. Telnet/SSH konfiguriert. Daran solltest du dich gewöhnen, ansonsten wirst du nie glücklich.weiter, auch da es hierfür keine Anleitungen im Netz gibt
Die Doku der Cisco ist ziemlich umfangreich und mir fällt es schwer, das passende
rauszufinden. Hat jemand eine Beispielkonfig?
Da wirst du wie allen anderen auch, lesen lesen lesen müssen. Oder meinst aqui oder brammer haben den CCNA / CCNP im Lotto gewonnen. rauszufinden. Hat jemand eine Beispielkonfig?
Beispiel:
!Config sichern
wr
!Sicher ist Sicher :-)
reload in 5
! Config-Mouds
conf t
! AccessList anlegen
access-list 101
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 101 deny ip host 192.168.1.3 any
ACL auf das entsprechende LAN-Inferface binden
interface xxxx
ip access-group 101 in
!Springt in ENABLE-MODUS zurück
endGrüße
Dani
Hallo,
vielen dank erstmal!
1. Frage: Kann ich die Config so wie sie hier steht, laden oder muss ich jeden Befehl einzeln ausführen?
2. Frage: Bei der Config steht, deny ip host 192.168.1.3 any --> so ist doch auch untereinander keine Kommunikation mehr möglich?
3. Frage: Kann ich die Outside-Schnittstelle nicht direkt ansprechen? also permit ip host 192.168.1.3 outside?
Danke nochmal und Gruß
vielen dank erstmal!
1. Frage: Kann ich die Config so wie sie hier steht, laden oder muss ich jeden Befehl einzeln ausführen?
2. Frage: Bei der Config steht, deny ip host 192.168.1.3 any --> so ist doch auch untereinander keine Kommunikation mehr möglich?
3. Frage: Kann ich die Outside-Schnittstelle nicht direkt ansprechen? also permit ip host 192.168.1.3 outside?
Danke nochmal und Gruß
zu 1.)
Ja....das ist bei Cisco möglich
zu 2.)
Doch, denn der ACL-Eintrag davor wird dann "matchen". Ansonsten wird der "DENY" gültig. Sprich es wird hintereinander die Einträge durchgegangen und geschaut, ob die Regel zutrifft.
zu 3.)
Nein, das geht nicht!
Es muss immer eine ACL definiert werden und dann an ein INTFACE gebunden werden. Es könnte ja sein, man muss die ACL an andere INTFACESES noch binden. Modularer Aufbau.
Hinweis: Mach vllt. davor noch ein "reload in 5" rein. Somit wird die ASA innerhalb von 5 Minuten neugestartet. Falls die ACL dich aussperrt. Abbrechen kannst du mit "reload cancel".
Grüße
Dani
Ja....das ist bei Cisco möglich
zu 2.)
Doch, denn der ACL-Eintrag davor wird dann "matchen". Ansonsten wird der "DENY" gültig. Sprich es wird hintereinander die Einträge durchgegangen und geschaut, ob die Regel zutrifft.
zu 3.)
Nein, das geht nicht!
Es muss immer eine ACL definiert werden und dann an ein INTFACE gebunden werden. Es könnte ja sein, man muss die ACL an andere INTFACESES noch binden. Modularer Aufbau.
Hinweis: Mach vllt. davor noch ein "reload in 5" rein. Somit wird die ASA innerhalb von 5 Minuten neugestartet. Falls die ACL dich aussperrt. Abbrechen kannst du mit "reload cancel".
Grüße
Dani
Danke euch zwei mal!
Wie kann ich komplette configs laden? Wo speichert es die config hin, wenn ich mit wr sichere?
Kann ich ACL's auch für MAC Adressen anlegen?
Wie kann ich komplette configs laden? Wo speichert es die config hin, wenn ich mit wr sichere?
Kann ich ACL's auch für MAC Adressen anlegen?
Hallo,
wie verbindest du dich den mit der PIX ?
Per Console Kabel, oder?
Dann kannst du die die Config ein aus einer Textdatei in die Console kopieren.
Am besten zur Übung am Anfang nur einzelne Zeilen oder keine Blöcke, sonst siehst du die Fehlermeldung nicht falls was nicht ganz korrekt war.
Der Befehl "wr" oder besser "copy run start" führt zum speichern der Konfiguration in der flashspeicher.
Als Hilfe solltest du mal nach dem Begriff "Ciscopedia" googlen
der Auszug für MAC Adressen + ACL bei Ciscopedia sagt folgendes:
/zitat Ciscopediav3.0
/zitatende Ciscopediav3.0
brammer
wie verbindest du dich den mit der PIX ?
Per Console Kabel, oder?
Dann kannst du die die Config ein aus einer Textdatei in die Console kopieren.
Am besten zur Übung am Anfang nur einzelne Zeilen oder keine Blöcke, sonst siehst du die Fehlermeldung nicht falls was nicht ganz korrekt war.
Der Befehl "wr" oder besser "copy run start" führt zum speichern der Konfiguration in der flashspeicher.
Als Hilfe solltest du mal nach dem Begriff "Ciscopedia" googlen
der Auszug für MAC Adressen + ACL bei Ciscopedia sagt folgendes:
/zitat Ciscopediav3.0
Command: mac access-list extendedMode:Switch(config)#Syntax:mac access-list extended name no mac access-list extended name Syntax Description:name Assign a name to the MAC extended ACL. Command Description:Use the mac access-list extended global configuration command to create an access control list (ACL) based on MAC addresses. Using this command changes the mode to extended MAC access-list configuration mode. Use the no form of this command to return to the default setting. MAC-named extended ACLs are used with the mac access-group interface configuration command and class maps. Example:This example shows how to enter extended MAC access-list configuration mode and to create a MAC extended ACL named mac1: Switch(config)# mac access-list extended mac1Switch(config-ext-macl)#This example shows how to delete the MAC extended ACL named mac1: Switch(config)# no mac access-list extended mac1You can verify your settings by entering the show access-lists privileged EXEC command./zitatende Ciscopediav3.0
brammer
Hallo nochmal,
danke.
Ich bin über LAN an die ASA angeschlossen und arbeite mit Telnet. Hat auch geklappt.
Frage, was mache ich falsch?
access-list 101 extended deny ip host 192.168.1.3 host 192.168.1.2
access-list 101 extended deny ip host 192.168.1.2 host 192.168.1.3
access-group 101 in interface inside
Das sind die beiden einzigen die ich eingefügt habe, sonst alles Standard.
Warum können beide noch miteinander kommunizieren?
Gruß
danke.
Ich bin über LAN an die ASA angeschlossen und arbeite mit Telnet. Hat auch geklappt.
Frage, was mache ich falsch?
access-list 101 extended deny ip host 192.168.1.3 host 192.168.1.2
access-list 101 extended deny ip host 192.168.1.2 host 192.168.1.3
access-group 101 in interface inside
Das sind die beiden einzigen die ich eingefügt habe, sonst alles Standard.
Warum können beide noch miteinander kommunizieren?
Gruß
Äh....was machst du denn da?! Das hat jetzt aber nichts mit dem obigen geschilderten Problem zu tun. Wäre prima, wenn du uns da erstmal Rückmeldung gibst. Bevor du das nächste Ding angehst....du solltest erstmal ein bisschen Doku lesen. Denn ein Meister ist noch nie vom Himmel gefallen.
Grüße
Dani
Grüße
Dani
Danke für die schnelle Antwort.
Also ich mach wie es brammer geschrieben hat... ich versuche jetzt ein bisschen zu üben.
Mein erster Versuch war ich wollte Client 192.168.1.2 verbieten mit Client 192.168.1.3 zu kommunizieren.
Wenn das klappen würde, würde sich das, denke ich mal, leicht auf das andere Szenario mappen lassen.
Es scheint so aber nicht zu klappen, wie ich das gedacht habe...
Gruß
Also ich mach wie es brammer geschrieben hat... ich versuche jetzt ein bisschen zu üben.
Mein erster Versuch war ich wollte Client 192.168.1.2 verbieten mit Client 192.168.1.3 zu kommunizieren.
Wenn das klappen würde, würde sich das, denke ich mal, leicht auf das andere Szenario mappen lassen.
Es scheint so aber nicht zu klappen, wie ich das gedacht habe...
Gruß
Wäre prima, wenn du uns da erstmal Rückmeldung gibst. Bevor du das nächste Ding angehst
Das ist keine Antwort auf meine Bitte!!
Dann hab eich Deine Bitte nicht verstanden
Kapituliere... bekomms nicht hin das PC1 mit PC2 nicht sprechen darf
Hi Anti-Man,
ich habe 2 Bitten an dich:
1.) Funktioniert es nun, dass der Client 1.3 nicht ins Internet kommt aber der andere schon?
2.) Du musst die ACL auf beide LAN-Interface binden, auf denen die Clients eingesteckt sind.
Grüße
Dani
ich habe 2 Bitten an dich:
1.) Funktioniert es nun, dass der Client 1.3 nicht ins Internet kommt aber der andere schon?
2.) Du musst die ACL auf beide LAN-Interface binden, auf denen die Clients eingesteckt sind.
Grüße
Dani
Hallo,
1. ja es hat geklappt.
2. ich kann es nur auf "inside" legen
1. ja es hat geklappt.
2. ich kann es nur auf "inside" legen
Ok, somit hätten wir den 1. Teil abgeschlossen.
Du hast doch jeden Rechner an der AS direkt eingesteckt. Somit musst du die ACL auf beide Interface binden!
Grüße
Dani
Du hast doch jeden Rechner an der AS direkt eingesteckt. Somit musst du die ACL auf beide Interface binden!
Grüße
Dani
Ich kann es nicht auf "beide" Interfaces binden.
Ich habe ja nur "inside" und "outside".
Siehe meine Config (PPPOE) wieder rausgemacht, damit ich damit nicht ins internet gehe.
Es soll nur PC1 an Ethernet0/2 die Vebindung mit PC2 an Ethernet0/1 verboten werden.
Da ich VLans deklariert habe, scheint es nicht zu tun.
Hier meine config
Ich habe ja nur "inside" und "outside".
Siehe meine Config (PPPOE) wieder rausgemacht, damit ich damit nicht ins internet gehe.
Es soll nur PC1 an Ethernet0/2 die Vebindung mit PC2 an Ethernet0/1 verboten werden.
Da ich VLans deklariert habe, scheint es nicht zu tun.
Hier meine config
ciscoasa# show ru
: Saved
:
ASA Version 8.0(2)
!
hostname ciscoasa
domain-name default.domain.invalid
enable password xxx encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address dhcp setroute
!
interface Vlan3
no nameif
security-level 50
no ip address
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
passwd xxx encrypted
boot system disk0:/asa802-k8.bin
ftp mode passive
dns server-group DefaultDNS
domain-name default.domain.invalid
object-group protocol Alle
protocol-object ip
protocol-object pim
protocol-object pcp
protocol-object snp
protocol-object igmp
protocol-object ipinip
protocol-object gre
protocol-object esp
protocol-object ah
protocol-object icmp6
protocol-object eigrp
protocol-object ospf
protocol-object igrp
protocol-object nos
access-list inside_access_in extended deny object-group Alle host 192.168.1.2 host 192.168.1.3
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
access-group inside_access_in in interface inside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
aaa authentication telnet console LOCAL
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet 192.168.1.2 255.255.255.255 inside
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!
dhcpd address 192.168.1.2-192.168.1.33 inside
dhcpd enable inside
!
threat-detection basic-threat
threat-detection statistics access-list
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
username xxx password xxx encrypted privilege x
prompt hostname context
: end
Nette Config....kannst du mir auch die einzelnen Funktionen erklären?!
z.B:
- service-policy global_policy global
- inspect xxx
- access-group inside_access_in in interface inside
- access-list inside_access_in extended deny object-group Alle host 192.168.1.2 host 192.168.1.3
- protocol-object
- security-level 100
Des Weiteren empfehle ich dir mal, nachzulesen für was VLAN's gut sind und wann das Sinn macht.
Hast du alle 3 deaklariert?! Eigentlich nur das 2. und 3. - lösche diese auch wieder.
Füge folgende Zeilen ein:
Wie schon mal gesagt: Du wirst nicht um die umfrangreiche Doku herum kommen!!
Grüße
Dani
z.B:
- service-policy global_policy global
- inspect xxx
- access-group inside_access_in in interface inside
- access-list inside_access_in extended deny object-group Alle host 192.168.1.2 host 192.168.1.3
- protocol-object
- security-level 100
Des Weiteren empfehle ich dir mal, nachzulesen für was VLAN's gut sind und wann das Sinn macht.
Hast du alle 3 deaklariert?! Eigentlich nur das 2. und 3. - lösche diese auch wieder.
Füge folgende Zeilen ein:
conf t
access-list 102 deny ip host 192.168.1.3 host 192.168.1.2
access-list 102 deny ip host 192.168.1.2 host 192.168.1.3
int interface Ethernet0/1
access-group 101 in interface inside
exit
int interface Ethernet0/2
access-group 101 in interface inside
endGrüße
Dani
Tja, ich hab ehrlich gesagt keine Ahnung ob die ASA5505 ohne VLANS funktioniert.
Wenn ich versuche einen Ethernet Port zu benamsen, kommt folgendes:
"ERROR: This command can only be configured on VLAN interfaces"
Wie oder ob ich irgendwie die Ports ohne VLANS hinbekomm, weiß ich nicht.
Übrigens das vorhin ist die Standardconfig, eingerichtet mit dem Wizard - daher die vielen Funktionen.
Wie ich eine komplett leere Config daraus mache, weiß ich ebenfalls nicht, geschweige denn, ob ich überhaupt noch auf die ASA komme, wenn ich ein "no interface vlan1" mache
gruß
Wenn ich versuche einen Ethernet Port zu benamsen, kommt folgendes:
"ERROR: This command can only be configured on VLAN interfaces"
Wie oder ob ich irgendwie die Ports ohne VLANS hinbekomm, weiß ich nicht.
Übrigens das vorhin ist die Standardconfig, eingerichtet mit dem Wizard - daher die vielen Funktionen.
Wie ich eine komplett leere Config daraus mache, weiß ich ebenfalls nicht, geschweige denn, ob ich überhaupt noch auf die ASA komme, wenn ich ein "no interface vlan1" mache
gruß
Aha...warum verwendest du dann welche?
Ah, shit. Da war was...normal sollten alle Ports standardmäßig in VLAN1 hängen. Warum Eth0/0 nicht ist, weiß ich nicht. PPPoE Port (DSL)?!
Ansonsten binde die ACL auf das VLAN 1:
Grüße
Dani
Ah, shit. Da war was...normal sollten alle Ports standardmäßig in VLAN1 hängen. Warum Eth0/0 nicht ist, weiß ich nicht. PPPoE Port (DSL)?!
Ansonsten binde die ACL auf das VLAN 1:
conf t
int vlan1
ip access-group 102 in
endGrüße
Dani
Vielen dank euch mal!
Grüße
Grüße
Abend,
Kein Problem..wie ist der Stand der Dinge u deinen Versuchen?!
Grüße
Dani
Kein Problem..wie ist der Stand der Dinge u deinen Versuchen?!
Grüße
Dani
Hallo,
sry für die späte Antwort. Aber es ist ja wieder unter der Woche und der Job verlangt auch seine Zeit ab ;)
Ich war etwas gefrustet das ich die Ports nicht einzeln ansprechen kann und hatte meine Versuche eingestellt. Jetzt heute hab ich's wieder angepackt.
Läuft soweit ganz gut (also mit Standardconfig) und PC1 ins Netz, PC2 nicht ins Netz etc pp.
Hab trotzdem noch ne Frage. Die ASA kommt ja pre-configured und ich frage mich, was die Regel deny any any auf dem outside interface soll. Diese Regel soll doch verbieten, dass Zugriffe von Aussen nicht nach innen kommen. Habe nichts dran verändert oder gedreht. Müsste dann nicht auch mein Internet ausser gefecht sein oder gilt das wirklich nur für eingehende Verbindungen welche nicht von mir bzw. einem internen Client initiiert wurden?
Gruß
sry für die späte Antwort. Aber es ist ja wieder unter der Woche und der Job verlangt auch seine Zeit ab ;)
Ich war etwas gefrustet das ich die Ports nicht einzeln ansprechen kann und hatte meine Versuche eingestellt. Jetzt heute hab ich's wieder angepackt.
Läuft soweit ganz gut (also mit Standardconfig) und PC1 ins Netz, PC2 nicht ins Netz etc pp.
Hab trotzdem noch ne Frage. Die ASA kommt ja pre-configured und ich frage mich, was die Regel deny any any auf dem outside interface soll. Diese Regel soll doch verbieten, dass Zugriffe von Aussen nicht nach innen kommen. Habe nichts dran verändert oder gedreht. Müsste dann nicht auch mein Internet ausser gefecht sein oder gilt das wirklich nur für eingehende Verbindungen welche nicht von mir bzw. einem internen Client initiiert wurden?
Gruß
Moin,
Grüße
Dani
Die ASA kommt ja pre-configured und ich frage mich, was die Regel deny any any auf dem outside
interface soll.
kannst du die Config Ausschnitte mal posten?! Wir haben hier leider keine ASA, nur Checkpoints. interface soll.
Grüße
Dani
Hallo,
ja kann ich machen.
Aber sie taucht auch nicht in der Config auf. Sie ist wirklich Standardmäßig vergraben - hat übrigens auch jeder x-beliebige Router. Jetzt frage ich mich halt für was die gut ist.
Zurück zu den MAC-Adressen-ACL's:
Laut Doku lautet der Befehl
mac-list id {deny | permit} mac macmask
Kann ich hierzu auch eine Ziel-IP-Adresse angeben oder kann ich die ACL "nur so wie sie ist" auf ein Interface binden?
Also ich würde gerne Client1 (als MAC-Adresse) die Kommunikation mit meinem nach aussen gehenden Interface (VLAN2) also DSL verbieten.
Noch zur Info: Ich hatte doch oben genanntes Problem mit Traffic von Port zu Port nicht hinbekommen, da man nur komplette VLANs als Port ansprechen kann. Ich habe jetzt noch ein VLAN deklariert und so funktioniert es nun.
Gruß
ja kann ich machen.
Aber sie taucht auch nicht in der Config auf. Sie ist wirklich Standardmäßig vergraben - hat übrigens auch jeder x-beliebige Router. Jetzt frage ich mich halt für was die gut ist.
Zurück zu den MAC-Adressen-ACL's:
Laut Doku lautet der Befehl
mac-list id {deny | permit} mac macmask
Kann ich hierzu auch eine Ziel-IP-Adresse angeben oder kann ich die ACL "nur so wie sie ist" auf ein Interface binden?
Also ich würde gerne Client1 (als MAC-Adresse) die Kommunikation mit meinem nach aussen gehenden Interface (VLAN2) also DSL verbieten.
Noch zur Info: Ich hatte doch oben genanntes Problem mit Traffic von Port zu Port nicht hinbekommen, da man nur komplette VLANs als Port ansprechen kann. Ich habe jetzt noch ein VLAN deklariert und so funktioniert es nun.
Gruß
Jetzt frage ich mich halt für was die gut ist.
Ganz einfach, Sicherheit!! Sprich es ist so nicht möglich, dass ein unautorisierte Zugriff nicht möglich ist.Kann ich hierzu auch eine Ziel-IP-Adresse angeben oder kann ich die ACL "nur so wie sie ist" auf
ein Interface binden?
IP-Adresse und MAC-Adresse?! Denk mal nochmal drüber nach.... Mit MAC-Table habe ich noch nie was gemacht. Aber die Hilfe spricht für sich....ein Interface binden?
...a man nur komplette VLANs als Port ansprechen kann. Ich habe jetzt noch ein VLAN deklariert
und so funktioniert es nun.
Das spielt keine Rolle. Wir haben hier auch 24 Ports in einem VLAN und auf das VLAN eine ACL gebunden für die Clients - funktioniert ohne Probleme.und so funktioniert es nun.
Grüße
Dani
Ganz einfach, Sicherheit!! Sprich es ist so
nicht möglich, dass ein unautorisierte
Zugriff nicht möglich ist.
Also von mir initiierter Zugriff ist erlaubt? D.h. wenn mein Browser eine Anfrage startet?!?nicht möglich, dass ein unautorisierte
Zugriff nicht möglich ist.
> Kann ich hierzu auch eine
Ziel-IP-Adresse angeben oder kann ich die ACL
"nur so wie sie ist" auf
> ein Interface binden?
IP-Adresse und MAC-Adresse?! Denk mal
nochmal drüber nach.... Mit MAC-Table
habe ich noch nie was gemacht. Aber die Hilfe
spricht für sich....
OK Danke
> ...a man nur komplette VLANs als Port
ansprechen kann. Ich habe jetzt noch ein VLAN
deklariert
> und so funktioniert es nun.
Das spielt keine Rolle. Wir haben hier auch
24 Ports in einem VLAN und auf das VLAN eine
ACL gebunden für die Clients -
funktioniert ohne Probleme.
ansprechen kann. Ich habe jetzt noch ein VLAN
deklariert
> und so funktioniert es nun.
Das spielt keine Rolle. Wir haben hier auch
24 Ports in einem VLAN und auf das VLAN eine
ACL gebunden für die Clients -
funktioniert ohne Probleme.
Ich denke ich hab mich zu schlecht ausgedrückt. Ich wollte doch Traffic von Client1 zu Client2 unterbinden. Beide hängen (hingen) aber im VLAN1. ACL's kann ich aber nur auf ein komplettes VLAN hängen und nicht auf deren Ports. Deshalb hat es nicht funktioniert.
Ich kann keine ACL auf VLAN1 hängen dieser ich sag Verbiete Traffic von Client1, Interface 0/1 zu Client2, Interface0/2, weil ich einzenlne Ports im VLAN nicht ansprechen kann, nur die kompletten VLANs.
Grüßle
Hallo!
Danke euch allen nochmal! Jetzt läuft soweit alles!
Grüßle
Danke euch allen nochmal! Jetzt läuft soweit alles!
Grüßle
