- Код: Выделить всё
cat3500-test(config)#access-list ?
<1-99> IP standard access list
<100-199> IP extended access list
<1300-1999> IP standard access list (expanded range)
<2000-2699> IP extended access list (expanded range)
Создаю ACL с номером 20 (стандартный, проверяет только по source ip):
- Код: Выделить всё
cat3500-test#sho access-lists 20
Standard IP access list 20
deny any
Назначаю его на единственный существующий VLAN 1:
- Код: Выделить всё
cat3500-test#conf t
Enter configuration commands, one per line. End with CNTL/Z.
cat3500-test(config)#int vlan 1
cat3500-test(config-if)#ip access-group 20 in
cat3500-test(config-if)#^Z
cat3500-test#
...и получаю странный результат - перестаёт пинговаться сам коммутатор - т.е., эффект вроде как есть, но всё, что идёт транзитом через этот коммутатор, как шло так и продолжает идти, несмотря на правило deny any, запрещающее всё!
На одном из сайтов мне удалось наткнуться на разъяснение по поводу похожей ситуации с 2900XL (они близнецы-братья с 3500XL, у них дажке фирмварь общая) - там утверждается, что поскольку 2900/3500 это L2, то никакие ACL на L3 у них, типа по пределению, работать не будут. Более того, если бы это был L3 коммутатор, то для работы acl сетевого уровня необходимо было бы явно переключить интерфейс из L2 в L3 моду (командой no switchport).
Вопрос: если это действительно так (в документации не нашёл ничего вразумительного), то на кой чёрт этот мраморный телефон присутствует в этих L2-коммутаторах? Не, на свой собственный IP они (acl) воздействуют, да, но мне-то хочется, чтобы они на транзитные пакеты действовали.
Странно это как-то всё. Хотя если честно, то это далеко не единственная странность у кисюковых железок, н-р, есть кучка команд относительно манипуляций с NAT, которые тоже... не работают, причём не работают даже на L3-коммутаторе Cat4948(!). Зачем держать неработающие команды в системе? Не понимаю. Также не понимаю, почему в L2-коммутаторе нет возможности создавать L2 ACL (а L3 ACL - пожалуйста, создавай. Только работать они всё равно не будут).
Если создать правило с логированием, то на консоль начинают валиться сообщения, что вот, мол, запрещён такой-то и такой-то пакет от такого-то и такого-то IP, т.е. ACL таки "стреляет". Правда, как я думаю, это реакция на приходящие бродкасты, которые запрещающее deny any не пускает к своему внутреннему IP.
Ни у кого нет возможности поиграть с кисюковыми железяками, чтобы окончательно убедиться, что реально работающих ACL на указанных выше моделях не существует? Просто уж очень интересно разобраться с этим делом.