Cisco 2900 урезанный набор команд, посоветуйте что предпринять

@bulca1 · Регистрация: 20.08.2015

Студворк — интернет-сервис помощи студентам

АППАРАТ:
Cisco Internetwork Operating System Software
IOS (tm) C2900XL Software (C2900XL-HS-M), Version 11.2(8.12)SA6, MAINTENANCE INT

В НАБОРЕ КОМАНД КОНФИГУРАЦИИ ЛЮБОГО ИЗ 24 ИНТЕРФЕЙСОВ НАЧИСТО ОТСУТСТВУЕТ ОПЦИЯ "IP":
Interface configuration commands:
arp Set arp type (arpa, probe, snap) or timeout
backup Modify dial-backup parameters
bandwidth Set bandwidth informational parameter
carrier-delay Specify delay for interface transitions
cdp CDP interface subcommands
custom-queue-list Assign a custom queue list to an interface
default Set a command to its defaults
delay Specify interface throughput delay
description Interface specific description
duplex Configure duplex operation.
exit Exit from interface configuration mode
fair-queue Enable Fair Queuing on an Interface
help Description of the interactive help system
hold-queue Set hold queue depth
keepalive Enable keepalive
load-interval Specify interval for load calculation for an interface
logging Configure logging for interface
loopback Configure internal loopback on an interface
mac-address Manually set interface MAC address
media-type Interface media type
mtu Set the interface Maximum Transmission Unit (MTU)
negotiation Select autonegotiation mode
no Negate a command or set its defaults
port Perform switch port configuration
priority-group Assign a priority group to an interface
random-detect Enable Random Early Detection (RED) on an Interface
shutdown Shutdown the selected interface
snmp Modify SNMP interface parameters
spanning-tree Spanning Tree Subsystem
speed Configure speed operation.
switchport Set switching mode characteristics
transmit-interface Assign a transmit interface to a receive-only interface
tx-queue-limit Configure card level transmit queue limit

ВОПРОС: Что это значит, и что с этим делать, если, например, надо применить у интерфейсу список доступа командой
ip access-group ...
?

@Korax · 20.02.2019, 21:45

1. это свич
2. это очень старый свич

Следствия:
1. L2 портам свичей IP не назначают, команда как бы и не к чему
2. порты могут и не переключаться в L3 режим (no switchport не сработает) Если так - попробовать вешать ACL на SVI.
3. если переключаются - вот там может команда ip и появится
4. не мучайте этого мамонта, пусть себе коммутирует помаленьку, раз уж не повезло, а трафик фильтруйте выше, где VLANы терминируются.

@bulca1 · 20.02.2019, 22:15 **[ТС]**

acl на svi это на интерфейс влан, и если вланы не определялись, то это int vlan1, так?

@bulca1 · 21.02.2019, 09:47 **[ТС]**

моя задача в том, чтобы с одного порта свича запретить доступ к одному конкретному ip адресу, при этом все должно быть в одной подсети с получением адреса по dhcp, как это сделать на данном аппарате. Можно ли развернуть два влана по портам в одной сети и как в таком случае настроить маршрутизацию между вланами?

@Korax · 21.02.2019, 10:35

1. Резать доступ от конкретного порта к конкретному узлу - если они в одном вилане, ACL на SVI не поможет. Это только для межвиланового трафика.

2. Если поддерживает, можно попробовать L2 ACL:

Кликните здесь для просмотра всего текста

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
SW1(config)#access-list ?
  <1-99>            IP standard access list
  <100-199>         IP extended access list
  <1100-1199>       Extended 48-bit MAC address access list
  <1300-1999>       IP standard access list (expanded range)
  <200-299>         Protocol type-code access list
  <2000-2699>       IP extended access list (expanded range)
  <2700-2799>       MPLS access list
  <300-399>         DECnet access list
  <600-699>         Appletalk access list
  <700-799>         48-bit MAC address access list
  dynamic-extended  Extend the dynamic ACL absolute timer
  rate-limit        Simple rate-limit specific access list
 
SW1(config)#access-list 700 ?
  deny    Specify packets to reject
  permit  Specify packets to forward
 
SW1(config)#access-list 700 pe
SW1(config)#access-list 700 permit ?
  H.H.H  48-bit hardware address

Сообщение от bulca1

чтобы с одного порта свича запретить доступ к одному конкретному ip адресу,

это можно попробовать фильтрацией на конечном узле

Сообщение от bulca1

Можно ли развернуть два влана по портам в одной сети и как в таком случае настроить маршрутизацию между вланами?

вот тут не понял, что вы хотите делать...

@bulca1 · 21.02.2019, 11:29 **[ТС]**

c2900(config)#access-list ?
<1-99> IP standard access list
<100-199> IP extended access list
у меня только так

Порт на 2900 это розетка на стене, грубо говоря. Так вот надо, чтобы, кто бы не включился в эту розетку, он бы не видел один конкретный ip адрес в сети. Что в этом случае можно фильтровать на конечном узле или по дороге на другом свиче, вот вопрос?

@Korax · 21.02.2019, 14:09

1. Можно посмотреть в сторону private vlans, если есть.
https://learningnetwork.cisco.com/docs/DOC-16110
https://www.interfacett.com/bl... -switches/

2. Можно попробовать через dhcp snooping и опцию 82 пометить клиентов на том порту и их как-нибудь особенно на DHCP обслуживать...
https://www.cisco.com/en/US/do... 10101.html
но тут я смутно представляю решение. Это колдунство будет...

@bulca1 · 22.02.2019, 08:54 **[ТС]**

Спасибо вам большое, посмотрел. Приваты задачу не решают, хотя полезные, конечно, придумки. Про 82 опцию, пока в поиске как ее к виндовому серверу прикрутить.

Новые блоги и статьи Все статьи Все блоги /
Вывод данных через динамический список в справочнике Maks 01.04.2026 Реализация из решения ниже выполнена на примере нетипового справочника "Спецтехника" разработанного в конфигурации КА2. Задача: вывести данные из ТЧ нетипового документа. . .	Функция заполнения текстового поля в реквизите формы документа Maks 01.04.2026 Алгоритм из решения ниже реализован на нетиповом документе "ВыдачаОборудованияНаСпецтехнику" разработанного в конфигурации КА2, в дополнении к предыдущему решению. На форме документа создается. . .	К слову об оптимизации kumehtar 01.04.2026 Вспоминаю начало 2000-х, университет, когда я писал на Delphi. Тогда среди программистов на форумах активно обсуждали аккуратную работу с памятью: нужно было следить за переменными, вовремя. . .	Идея фильтра интернета (сервер = слой+фильтр). Hrethgir 31.03.2026 Суть идеи заключается в том, чтобы запустить свой сервер, о чём я если честно мечтал давно и давно приобрёл книгу как это сделать. Но не было причин его запускать. Очумелые учёные напечатали на. . .
Модель здравосоХранения 6. ESG-повестка и устойчивое развитие; углублённый анализ кадрового бренда anaschu 31.03.2026 В прикрепленном документе раздумья о том, как можно поменять модель в будущем	10 пpимет, которые всегда сбываются Maks 31.03.2026 1. Чтобы, наконец, пришла маршрутка, надо закурить. Если сигарета последняя, маршрутка придет еще до второй затяжки даже вопреки расписанию. 2. Нaдоели зима и снег? Не надо переезжать. Достаточно. . .	Перемещение выделенных строк ТЧ из одного документа в другой Maks 31.03.2026 Реализация из решения ниже выполнена на примере нетипового документа "ВыдачаОборудованияНаСпецтехнику" с единственной табличной частью "ОборудованиеИКомплектующие" разработанного в конфигурации КА2. . . .	Functional First Web Framework Suave DevAlt 30.03.2026 Sauve. IO Апнулись до NET10. Из зависимостей один пакет, работает одинаково хорошо как в режиме проекта так и в интерактивном режиме. из сложностей - чисто функциональный подход. Решил. . .

@bulca1 0 / 0 / 0 Регистрация: 20.08.2015 Сообщений: 5

	Cisco 2900 урезанный набор команд, посоветуйте что предпринять 20.02.2019, 18:05. Показов 957. Ответов 7 Метки нет (Все метки) АППАРАТ: Cisco Internetwork Operating System Software IOS (tm) C2900XL Software (C2900XL-HS-M), Version 11.2(8.12)SA6, MAINTENANCE INT В НАБОРЕ КОМАНД КОНФИГУРАЦИИ ЛЮБОГО ИЗ 24 ИНТЕРФЕЙСОВ НАЧИСТО ОТСУТСТВУЕТ ОПЦИЯ "IP": Interface configuration commands: arp Set arp type (arpa, probe, snap) or timeout backup Modify dial-backup parameters bandwidth Set bandwidth informational parameter carrier-delay Specify delay for interface transitions cdp CDP interface subcommands custom-queue-list Assign a custom queue list to an interface default Set a command to its defaults delay Specify interface throughput delay description Interface specific description duplex Configure duplex operation. exit Exit from interface configuration mode fair-queue Enable Fair Queuing on an Interface help Description of the interactive help system hold-queue Set hold queue depth keepalive Enable keepalive load-interval Specify interval for load calculation for an interface logging Configure logging for interface loopback Configure internal loopback on an interface mac-address Manually set interface MAC address media-type Interface media type mtu Set the interface Maximum Transmission Unit (MTU) negotiation Select autonegotiation mode no Negate a command or set its defaults port Perform switch port configuration priority-group Assign a priority group to an interface random-detect Enable Random Early Detection (RED) on an Interface shutdown Shutdown the selected interface snmp Modify SNMP interface parameters spanning-tree Spanning Tree Subsystem speed Configure speed operation. switchport Set switching mode characteristics transmit-interface Assign a transmit interface to a receive-only interface tx-queue-limit Configure card level transmit queue limit ВОПРОС: Что это значит, и что с этим делать, если, например, надо применить у интерфейсу список доступа командой ip access-group ... ? 0

@Korax 866 / 438 / 130 Регистрация: 20.04.2014 Сообщений: 1,127
	20.02.2019, 21:45
	1. это свич 2. это очень старый свич Следствия: 1. L2 портам свичей IP не назначают, команда как бы и не к чему 2. порты могут и не переключаться в L3 режим (no switchport не сработает) Если так - попробовать вешать ACL на SVI. 3. если переключаются - вот там может команда ip и появится 4. не мучайте этого мамонта, пусть себе коммутирует помаленьку, раз уж не повезло, а трафик фильтруйте выше, где VLANы терминируются. 1

@bulca1 0 / 0 / 0 Регистрация: 20.08.2015 Сообщений: 5
	20.02.2019, 22:15 [ТС]
	acl на svi это на интерфейс влан, и если вланы не определялись, то это int vlan1, так? 0

@bulca1 0 / 0 / 0 Регистрация: 20.08.2015 Сообщений: 5
	21.02.2019, 09:47 [ТС]
	моя задача в том, чтобы с одного порта свича запретить доступ к одному конкретному ip адресу, при этом все должно быть в одной подсети с получением адреса по dhcp, как это сделать на данном аппарате. Можно ли развернуть два влана по портам в одной сети и как в таком случае настроить маршрутизацию между вланами? 0

@bulca1 0 / 0 / 0 Регистрация: 20.08.2015 Сообщений: 5
	21.02.2019, 11:29 [ТС]
	c2900(config)#access-list ? <1-99> IP standard access list <100-199> IP extended access list у меня только так Порт на 2900 это розетка на стене, грубо говоря. Так вот надо, чтобы, кто бы не включился в эту розетку, он бы не видел один конкретный ip адрес в сети. Что в этом случае можно фильтровать на конечном узле или по дороге на другом свиче, вот вопрос? 0

@Korax 866 / 438 / 130 Регистрация: 20.04.2014 Сообщений: 1,127
	21.02.2019, 14:09
	1. Можно посмотреть в сторону private vlans, если есть. https://learningnetwork.cisco.com/docs/DOC-16110 https://www.interfacett.com/bl... -switches/ 2. Можно попробовать через dhcp snooping и опцию 82 пометить клиентов на том порту и их как-нибудь особенно на DHCP обслуживать... https://www.cisco.com/en/US/do... 10101.html но тут я смутно представляю решение. Это колдунство будет... 1

@bulca1 0 / 0 / 0 Регистрация: 20.08.2015 Сообщений: 5
	22.02.2019, 08:54 [ТС]
	Спасибо вам большое, посмотрел. Приваты задачу не решают, хотя полезные, конечно, придумки. Про 82 опцию, пока в поиске как ее к виндовому серверу прикрутить. 0