О деактивации форума Eltex

Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.

Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.

Фильтрация траффика Port-to-Port

MES, ESR
fasv
Сообщения: 5
Зарегистрирован: 20 май 2016 18:53
Reputation: 0

Фильтрация траффика Port-to-Port

Сообщение fasv » 08 фев 2021 18:39

Коллеги, доброго дня.
В наличии два Коммутатора MES5324, работающие в стеке.

Версия прошивки:
Version: 4.0.15
Commit: 56887933
Build: 2 (master)

Есть непонимание работы списков доступа.

Железка сконфигурена следующим образом(лишнее обрезал):
ip access-list extended vlan255_input_rules
permit ip any any 172.16.255.0 0.0.0.255 172.16.1.0 0.0.0.255 ace-priority 20
permit ip any any 172.16.255.0 0.0.0.255 172.16.4.0 0.0.0.63 ace-priority 40
permit ip any any 172.16.255.0 0.0.0.255 192.168.7.0 0.0.0.255 ace-priority 60
permit ip any any 172.16.255.0 0.0.0.255 172.16.92.0 0.0.0.255 ace-priority 80
deny ip any any 172.16.255.0 0.0.0.255 172.16.0.0 0.15.255.255 ace-priority 100
deny ip any any 172.16.255.0 0.0.0.255 100.64.0.0 0.63.255.255 ace-priority 101
deny ip any any 172.16.255.0 0.0.0.255 192.168.0.0 0.0.255.255 ace-priority 120
deny ip any any 172.16.255.0 0.0.0.255 10.0.0.0 0.255.255.255 ace-priority 140
permit ip any any any any ace-priority 160
exit
!
interface tengigabitethernet1/0/3
channel-group 2 mode auto
exit
!
interface tengigabitethernet1/0/4
channel-group 3 mode auto
exit
!
interface tengigabitethernet2/0/3
channel-group 2 mode auto
exit
!
interface tengigabitethernet2/0/4
channel-group 3 mode auto
exit
!
!
interface Port-channel2
description ***SW1***
switchport mode trunk
switchport trunk allowed vlan add 2-20,22-4094
exit
!
interface Port-channel3
description ***SW2***
switchport mode trunk
switchport trunk allowed vlan add 2,255,1000
exit
!
interface vlan 255
ip address 172.16.255.1 255.255.255.0
service-acl input vlan255_input_rules
exit
!
end

Подразумевалось, что задачей аксесс-листа vlan255_input_rules будет ограничить доступ в подсеть 172.16.255.0 из других подсетей.
но проблема в том, что при такой конфигурации аксесс-листа, две машины принадлежащие одной и той-же подсети 172.16.255.0/24,но находящиеся в разных порт-ченелах не видят друг друга. Для того, чтобы они увидели друг друга в аксесс-лист приходится дописывать правило
permit ip any any 172.16.255.0 0.0.0.255 172.16.255.0 0.0.0.255 ace-priority 21

Т.е. получается аксесс лист на L3 интерфейсе влияет на прохождение траффика L2.

Корректно ли такое поведение, если да, то какова логика работы списка доступа и как правильно его сформировать?

Евгений Т
Сообщения: 1613
Зарегистрирован: 18 мар 2013 09:48
Reputation: 7
Откуда: Элтекс

Re: Фильтрация траффика Port-to-Port

Сообщение Евгений Т » 09 фев 2021 09:57

Добрый день.

Наблюдаемое поведение корректно. Навешиваемый на interfae vlan acl действительно влияет на весь проходящий через коммутатор трафик, а не только маршрутизируемый.
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/

fasv
Сообщения: 5
Зарегистрирован: 20 май 2016 18:53
Reputation: 0

Re: Фильтрация траффика Port-to-Port

Сообщение fasv » 09 фев 2021 12:49

Насколько это критично для пропускной способности? Есть ли возможность как-то посчитать, или же какие-нибудь бэст-практис касаемо этого вопроса?

Евгений Т
Сообщения: 1613
Зарегистрирован: 18 мар 2013 09:48
Reputation: 7
Откуда: Элтекс

Re: Фильтрация траффика Port-to-Port

Сообщение Евгений Т » 09 фев 2021 14:08

ACL не влияет на пропускную способность. Он либо пропускает трафик, либо блокирует (policy-map в расчёт не берём).
Исходя из описанной логики нужно лишь разрешить или запретить трафик в том же броадкастовом домене.
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/


Вернуться в «Коммутаторы и маршрутизаторы Ethernet»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 15 гостей