[John_obn]

Добрый день.

 

Подскажите, есть ли возможность применять ACL на физических интерфейсах, расположенных не на супервизорах?

Не вижу таких команд в режиме конфигурирования интерфейса: ни mac access-group, ни ip access-group. На SVI есть ip access-group.

Sup2/PFC2/MSFC2, ios: 12.1.26(E9). Платы: WS-X6516-GE-TX, WS-X6516-CBIC.

На cisco.com нашел эти команды в SXH версии IOS, но SXH не для SUP2.

Есть у кого подобные набивки?

[John_obn]

Да, порты используются в режиме switchport.

[orlik]

Да, порты используются в режиме switchport.

если порт в L2, то ip access-list вы тыда не повесите, только на интерфейс vlan

[John_obn]

Для фильтрации по ip подсказали мне, можно использовать VACL.

[pchol]

Вполне.

Сначала создаёте обычный ip access-list

Потом создаёте vlan access-map, в ней уже делаете match ip address и указываете нужный вам ip acceess-list, указываете действие action forward / drop

И применяете её на интерфейс используя vlan filter.

[John_obn]

И применяете её на интерфейс используя vlan filter.

Только не на интерфейс, а в глобальном режиме: vlan filter <name> vlan-list <list-vlans>

Только не удалось таким образом зафильтровать по mac адресам. match mac address <name_of_list> вводится, но действия никакого не производит.