HP ProCurve 2610 Switch, Access List
CLI Guru - Cisco Eğitim ve Danışmanlık Merkezi |

2007 yılından bu yana aktif olan ciscotr.com, kısa bir süre sonra " www.bilisim.pro " olarak devam edecektir.  
Mevcut mesajlarınız ve kullanıcı bilgilerinizle yenilenen sitemizde katılıma devam edebileceksiniz.

+ Konuyu Cevapla
Toplam 9 sonuçtan 1 ile 9 arasındakiler gösteriliyor.
HP ProCurve 2610 Switch, Access List

Merhaba, HP 2610 switch üzerinde acces-list oluşturmak istiyorum. Aşağıda yaptığım örnek var. Nerede yanlış yapıyorum. Yardımcı olursanız sevinirim. Sadece 192.168.2.11 ve 192.168.2.16 ip adreslerinin 3 nolu porttaki 192.168.7.2 makinasına ulaşmasını

  1. #1
    forum35 isimli Üye şimdilik offline konumundadır Junior Member
    Üyelik tarihi
    Oct 2008
    Mesajlar
    5

    Standart HP ProCurve 2610 Switch, Access List

    Merhaba,
    HP 2610 switch üzerinde acces-list oluşturmak istiyorum. Aşağıda yaptığım örnek var. Nerede yanlış yapıyorum. Yardımcı olursanız sevinirim.

    Sadece 192.168.2.11 ve 192.168.2.16 ip adreslerinin 3 nolu porttaki 192.168.7.2 makinasına ulaşmasını istiyorum. Interface atamasını yaptım.
    Yukarıdaki 192.168.2 li ip adresleri farklı vlanda ve farklı switch üzerindeler.

    ip access-list standart "1"
    permit 192.168.2.11 0.0.0.0
    permit 192.168.2.16 0.0.0.0
    deny any

    Teşekkürler.
    Mehmet

  2. #2
    mbaybarsk isimli Üye şimdilik offline konumundadır Member
    Üyelik tarihi
    Sep 2009
    Mesajlar
    94

    Standart

    Access list'i uygulamaya koyarken hangi komutu kullanıyorsun? Bence orada bir yanlışlık olabilir. HP'lerin syntax'ını bilmiyorum ama

    ip access-group "1" in yerine ip access-group 1 in yazıyor olabilirsin.

  3. #3
    forum35 isimli Üye şimdilik offline konumundadır Junior Member
    Üyelik tarihi
    Oct 2008
    Mesajlar
    5

    Standart

    Sh run yaptığımda interface altında access list görünüyor.

  4. #4
    forum35 isimli Üye şimdilik offline konumundadır Junior Member
    Üyelik tarihi
    Oct 2008
    Mesajlar
    5

    Standart

    Bir ekleme yapıyım. Access list aktif olduğunda 192.168.7.2 adresine hiç ulaşamıyorum.

  5. #5
    mbaybarsk isimli Üye şimdilik offline konumundadır Member
    Üyelik tarihi
    Sep 2009
    Mesajlar
    94

    Standart

    Aslında olması lazım, eğer acces-list'ten önce bu adresi pingleyebiliyorsan, VLAN'ler arası NAT yapmış değilseniz, olması lazım.

    "permit host 192.168.2.11
    permit host 192.168.2.16" yı deneyebilirsin

    Bunun dışında show run yapıp buraya ekleyebilir misin?

  6. #6
    forum35 isimli Üye şimdilik offline konumundadır Junior Member
    Üyelik tarihi
    Oct 2008
    Mesajlar
    5

    Standart

    Söylediğin şekilde de olmadı. Access listi int e atadığım anda int e giden tüm trafik kesiliyor. Ben yanlış anlamıyorum değil mi? Atadığım interface ile sadece permit olan IP adresleri iletişim kuruyor. Diğer tüm trafik kesiliyor.
    Deny any ve permit any komutlarını en alta ve en üste yazmak arasında ne gibi fark var. Biliyorum kaynaklar var ama bu konu karışık bir konu ve bende de şiir gibi ingilizce yok.

    Okuduğum kadarıyla IP routing enable olması gerekiyor mu?

  7. #7
    syslog2 Guest

    Standart

    acl ler yukarıdan aaşğıya doğru işlenerek okunur, sıralama değişiklikler yaparesanız farklılıklar gösterir. ayrıca birde
    anladığım kadarıyla sen host dan hosta deny etmek istiyorsun ayrıca extended acl yazman gerekli hatı bilgi vermek istemiyorum.

    access-list 100 permit host 192.168.2.11 any host 192.168.7.2
    access-list 100 permit host 192.168.2.16 any host 192.168.7.2
    deny any any

    bu komut yapısı hp procurvede çalışıyor.

    şeklinde denermisin.
    kolay gelsin.

  8. #8
    mbaybarsk isimli Üye şimdilik offline konumundadır Member
    Üyelik tarihi
    Sep 2009
    Mesajlar
    94

    Standart

    syslog2 haklı, extended ile daha güzel bir ACL yaratılabilir, bu şekildeki bir ACL'i router'ın (vlan leri birleştiridiğini tahmin ettiğim router'ın) üzerinde 192.168.2 li networkun geldiği yere inbound olarak yerleştirmek lazım.

    Eğer zaten 192.168.7.2 maknasının portu layer 3 bir switch'in üzerinde ise ve o port "no switchport" ile IP bazlı trafiğe açılmışsa da standart ACL'i outbound yönünde uygulaman gerekecek. İn yönünde uygularsan makinaın kendisinden 192.168.2.0 networkunden switche doğru gelen trafiğe izin verip diğerlerini (yani bütün trafiği) engeller.

  9. #9
    forum35 isimli Üye şimdilik offline konumundadır Junior Member
    Üyelik tarihi
    Oct 2008
    Mesajlar
    5

    Standart

    Merhaba,
    Geç cevap verdiğim için özür dilerim. Yardımlarınız için teşekkür ederim. Sorunu çözdüm.
    Yapmak istediğim lokal ağda olduğu için router üzerinden yapma şansım yoktu. Tek bir ip için aşağıdaki şekilde yapınca oldu.

    access-list 100 permit ip host 192.168.2.11 host 192.168.7.2
    access-list 100 permit ip host 192.168.7.2 host 192.168.2.11

    Alta deny rule yazmaya gerek yok. Permit olan trafik dışındaki tüm trafiği doğuştan (Implicitly deny) yasaklıyor. Ben tek taraflı izin verdiğim için gönderilen pakete dönüşte izin vermiyor. Bu yüzden karşılıklı izin vermek gerekiyor.

    Tekrar teşekkür ederim.

+ Konuyu Cevapla

Bu Konuyu Paylaşın !

Bu Konuyu Paylaşın !

Yetkileriniz

  • Konu Acma Yetkiniz Yok
  • Cevap Yazma Yetkiniz Yok
  • Eklenti Yükleme Yetkiniz Yok
  • Mesajınızı Değiştirme Yetkiniz Yok