Cisco-Switch Port-IP-Einschränkung

[Nightflyer2000]

Hallo alle zusammen,

folgende Fragestellung:

Vorhandener Cisco Switch (Catalyst 3550)

Auf diesem Switch soll ein einziger Port nur auf eine einzige Server-IP-Adresse Zugriff haben, alle anderen IP-Adressen im Netz sollen von dem PC, welcher an diesem Port angeschlossen ist, nicht erreichbar sein.

Ich denke, mir fehlt einfach der entsprechende Befehl...

Einen Port für eine MAC-Adresse einzuschränken geht ja einfach, aber das andere "Anliegen" nicht oder ich stehe auf der Leitung...

Vielen Dank schon mal.

Ergänzung:

Ist dies eventuell die Richtige "Fährte"...?:

Policy Routing with Catalyst 3550 Series Switch Configuration Example - Cisco Systems

[lordy]

Ich glaube, was du willst, ist ein Paketfilter. Das bietet der Cisco Catalyst aber nicht.

Soweit ich das sehe, kannst du diesen Port nur in einem seperaten VLAN isolieren.

[Crash2001]

Soll das nur für diesen Switch gelten? Also das Device was da dran hängt nur Zugriff auf z.B. einen Server o.ä. haben, oder soll auf diesem Switch einfach nur geblockt werden, dass die anderen Geräte die dran hängen auf das Device kommen? Du drückst dich da was schwamming aus. Vor allem - hängt nur ein Device an dem Port, oder hängt da ein anderer Switch dran?

Möglichkeiten je nachdem wie es gemeint ist, sind Access-Listen, vlans oder unterschiedliche (Sub)netze zu benutzen.

[Nightflyer2000]

Danke für die Antworten,

Also hier noch ein paar Details:

Es hängt an dem Switch / Port lediglich ein einziges Endgerät (PC) dran, welches über eine größere Strecke mit LWL-RJ45-Konvertern gepatcht ist, aber das spielt dafür dann erst mal keine Rolle, denke ich...

Es soll so laufen, dass dieser PC NUR auf einen Server bzw. eine einzige IP-Adresse im Netzwerk Zugriff hat.

Zusätzlich kann man natürlich noch mit einem MAC-Filter diesen einen PC für den Port zulassen, dadurch ist aber nicht gewährleistet, dass dieser PC auch NUR auf eine IP kommt.

Das würde nur helfen, dass dort kein Notebook, etc. angeschlossen werden kann...

Den Port in einem VLAN zu isolieren ist auch eine Variante, jedoch müsste man dann dem VLAN sagen, dass es nur auf einen spezielle IP-Adresse Zugriff hat.

Geht das auch bzw. ist es mit Access-Lists einfacher?

Bitte teilt mir eine Lösung mit...

Danke!

[Crash2001]

Da du keine IP-Adressen angibst, habe ich einfach mal zwei willkürliche genommen. 192.168.0.2 für das Gerät das am Switch an Port FastEthernet10 hängt und 192.168.0.3 für den Server. Das muss natürlich noch von dir angepasst werden.

interface FastEthernet10

 ip access-group 101 in

!

 access-list 101 permit host 192.168.0.2 host 192.168.0.3

 access-list 101 deny host 192.168.0.2 any 

 access-list 101 permit any any

!

Damit sollte jeglicher Traffic von 192.168.0.2 nur noch zu 192.168.0.3 möglich sein. Der restliche Traffic auf dem Switch ist dadurch nicht eingeschränkt.

Die Access-List wird von oben nach unten durchgearbeitet und die erste Entsprechung wird genommen.

Ganz am Ende wird automatisch noch ein deny any any hinzugefügt.

Dass nur eine bestimmte MAC-Adresse an dem Port hängen darf, kann man durch Port-Security ohne Probleme dann noch aktivieren.

[Nightflyer2000]

Grüß Dich,

danke für Deine Hilfe.

Ich scheitere an der Stelle, wo ich eine Access-List einem Port oder VLAN zuordnen kann.

Sowas wie der Befehl:

ip access-group 10 in

oder so ähnlich.

Dazu müsste ich doch zuerst auf den Port (z. B. Port 25) mit:

conf t

int fa0/25

Danke schon mal...

:confused:

[Crash2001]

Ist soweit richtig - ja.

Das conf t hatte ich mir in dem Codeschnipsel gespart gehabt.

Was genau ist denn dein Problem da, bzw welchen Fehler bekommst du?

Und vor allem - was für ein Cisco-Device ist der Switch überhaupt und welches IOS ist drauf?

Vielleicht hilft dir der Link hier weiter. Da steht alles, was du wissen musst dafür.

[Nightflyer2000]

Danke für die Antwort,

also mein Problem ist, dass ich sobald ich in im Konfig-Bereich des Interfaces (Port 25) beim Ausführen des Befehls ip access-group 10 in den Fehler bekomme, dass der Befehl nciht existiert.

IP gibt es noch, aber darunter keinen weiteren Befehl...

Oder muss ich für diesen Befehl nicht bis in den Konfig-Bereich vom interface?

Reicht da der Konfig-Modus, in den ich direkt mit conf t erreiche?

Aber ich habe die Vermutung, dass ich dann für alle Ports di Access-List zuordne, da ich in dem Befehl ja keine Port-Angabe mache.

Oder wo steh ich auch der Leitung?

Ach ja, der Switch ist ein Catalyst 3550, falls Dir das schon weiter hilft...

Danke schon mal...

:confused:

[Crash2001]

Also eigentlich sollte das funktionieren, wenn du im Interface drin bist.

Vielleicht steht hier , wieso das bei dir nicht funktioniert. Das ist ein Configuration-Guide speziell für den Catalyst 3550.

Läuft der Switch momentan mit einem Layer2- oder Layer3-Image?

Ach ja - Eine Access-list 10 ist keine erweiterte Access-list und kann nicht das was du brauchst, da sie nur das Ziel aber nicht die Quelle kennt. Da solltest du beim eingeben der Access_list schon einen Fehler bekommen haben. Oder war das nur ein Tippfehler und es sollte 101 heissen?