Коллеги, доброго дня.
В наличии два Коммутатора MES5324, работающие в стеке.
Версия прошивки:
Version: 4.0.15
Commit: 56887933
Build: 2 (master)
Есть непонимание работы списков доступа.
Железка сконфигурена следующим образом(лишнее обрезал):
ip access-list extended vlan255_input_rules
permit ip any any 172.16.255.0 0.0.0.255 172.16.1.0 0.0.0.255 ace-priority 20
permit ip any any 172.16.255.0 0.0.0.255 172.16.4.0 0.0.0.63 ace-priority 40
permit ip any any 172.16.255.0 0.0.0.255 192.168.7.0 0.0.0.255 ace-priority 60
permit ip any any 172.16.255.0 0.0.0.255 172.16.92.0 0.0.0.255 ace-priority 80
deny ip any any 172.16.255.0 0.0.0.255 172.16.0.0 0.15.255.255 ace-priority 100
deny ip any any 172.16.255.0 0.0.0.255 100.64.0.0 0.63.255.255 ace-priority 101
deny ip any any 172.16.255.0 0.0.0.255 192.168.0.0 0.0.255.255 ace-priority 120
deny ip any any 172.16.255.0 0.0.0.255 10.0.0.0 0.255.255.255 ace-priority 140
permit ip any any any any ace-priority 160
exit
!
interface tengigabitethernet1/0/3
channel-group 2 mode auto
exit
!
interface tengigabitethernet1/0/4
channel-group 3 mode auto
exit
!
interface tengigabitethernet2/0/3
channel-group 2 mode auto
exit
!
interface tengigabitethernet2/0/4
channel-group 3 mode auto
exit
!
!
interface Port-channel2
description ***SW1***
switchport mode trunk
switchport trunk allowed vlan add 2-20,22-4094
exit
!
interface Port-channel3
description ***SW2***
switchport mode trunk
switchport trunk allowed vlan add 2,255,1000
exit
!
interface vlan 255
ip address 172.16.255.1 255.255.255.0
service-acl input vlan255_input_rules
exit
!
end
Подразумевалось, что задачей аксесс-листа vlan255_input_rules будет ограничить доступ в подсеть 172.16.255.0 из других подсетей.
но проблема в том, что при такой конфигурации аксесс-листа, две машины принадлежащие одной и той-же подсети 172.16.255.0/24,но находящиеся в разных порт-ченелах не видят друг друга. Для того, чтобы они увидели друг друга в аксесс-лист приходится дописывать правило
permit ip any any 172.16.255.0 0.0.0.255 172.16.255.0 0.0.0.255 ace-priority 21
Т.е. получается аксесс лист на L3 интерфейсе влияет на прохождение траффика L2.
Корректно ли такое поведение, если да, то какова логика работы списка доступа и как правильно его сформировать?
О деактивации форума Eltex
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
Фильтрация траффика Port-to-Port
Re: Фильтрация траффика Port-to-Port
Добрый день.
Наблюдаемое поведение корректно. Навешиваемый на interfae vlan acl действительно влияет на весь проходящий через коммутатор трафик, а не только маршрутизируемый.
Наблюдаемое поведение корректно. Навешиваемый на interfae vlan acl действительно влияет на весь проходящий через коммутатор трафик, а не только маршрутизируемый.
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/
Re: Фильтрация траффика Port-to-Port
Насколько это критично для пропускной способности? Есть ли возможность как-то посчитать, или же какие-нибудь бэст-практис касаемо этого вопроса?
Re: Фильтрация траффика Port-to-Port
ACL не влияет на пропускную способность. Он либо пропускает трафик, либо блокирует (policy-map в расчёт не берём).
Исходя из описанной логики нужно лишь разрешить или запретить трафик в том же броадкастовом домене.
Исходя из описанной логики нужно лишь разрешить или запретить трафик в том же броадкастовом домене.
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/
Вернуться в «Коммутаторы и маршрутизаторы Ethernet»
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 15 гостей