L2のACL

L2のACL

L2のACLの設定について質問します。

access-list 100 deny icmp host 10.10.10.10 host 192.168.100.1
access-list 100 permit ip any any

interface Vlan10
ip address 10.10.10.10 255.255.255.0
ip access-group 100 in
ip access-group 100 out

上記の設定をした時に10.10.10.10→192.168.100.1の
PINGが通過してしまいます。

本来はip access-group 100 outのみで良いと思いますが、
念のためinを追加設定しました。

Catalyst2960を利用してます。

回答をお願いします。

No.1 回答者： k_izumo 回答日時： 2010/02/08 11:48

C2960では自ホストからのping要求はフィルタリングできません。

Catalyst2960 12.2(25) FX
http://www.cisco.com/japanese/warp/public/3/jp/s …

どうしてもフィルタリングを行いたい場合は
Firewall(ASA等)の導入をお勧めします。

この回答へのお礼

ありがとうございます。

お礼日時：2010/02/10 03:20

No.2 ベストアンサー 回答者： koonell 回答日時： 2010/02/10 01:57

以下を参考にしてみてください。

http://www.infraexpert.com/study/acl10.htm

--------------------------------
ip access-list extended ICMP
permit icmp host 10.10.10.10 host 192.168.100.1

vlan access-map TEST 10
match ip address ICMP
action drop

vlan access-map TEST 20
action forward

vlan filter TEST vlan 10
----------------------------
上記でできそうですが、すみません。試したわけではありません。

ちなみに一般にACLはインタフェイスを通過するときに適用となります。
OK_BERRYさんのconfigではVLAN10からVLAN10の通信になりますので適用されません。

この回答へのお礼

遅い時間なのに早急な回答ありがとうございます。

試してみます！

ありがとうございます！！

お礼日時：2010/02/10 03:20