О деактивации форума Eltex

Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.

Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.

ACL на MES2324P

MES, ESR
Ausha
Сообщения: 33
Зарегистрирован: 20 фев 2020 19:52
Reputation: 0

ACL на MES2324P

Сообщение Ausha » 30 июл 2021 18:16

На коммутаторе MES2324P создано несколько вланов, для каждого влана свой DHCP пул.
Появилась задача изолировать VLAN друг от друга.
Как я понял единствинный вариант это ACL на вход на интерфейсы.

при настройке ACL впал в ступор после того как минут 40 не могу написать синтаксис (хотя нет ничего сложного в ACL), в итоге применилась команда следующего содержания

ip access-list extended 10
deny ip any any 192.168.111.0 0.0.0.255 192.168.155.0 0.0.0.255 ace-priority 20
deny ip any any 192.168.111.0 0.0.0.255 192.168.11.0 0.0.0.255 ace-priority 30
permit ip any any any any ace-priority 40
exit

Как понимать написанное в данных строках не могу разобраться.
Обычно расширенный ACL имеет формат- deny ip any any или deny ip any xxxx yyyy -где xxxx ip adress, yyyy-wildcart

а в моем случае вообще не понимаю что он запрещает, но после применения правила на interface vlan трафик в сеть 192.168.111.0/24 был заблокирован из других vlan. Внутри одного vlan трафик ходит.

Евгений Т
Сообщения: 1613
Зарегистрирован: 18 мар 2013 09:48
Reputation: 7
Откуда: Элтекс

Re: ACL на MES2324P

Сообщение Евгений Т » 02 авг 2021 09:20

Добрый день

Синтаксис:
permit/deny <protocol (если ip указать, то любой протокол> <SRC MAC + WC mask> <DST MAC + WC mask> <SRC IP + WC mask> <DST IP + WC mask>

Правило "deny ip any any 192.168.111.0 0.0.0.255 192.168.155.0 0.0.0.255 ace-priority 20" говорит:
запретить прохождение любого IP пакета с любым SRC MAC, с любым DST MAC, с SRC IP из подсети 192.168.111.0/24 в подсеть 192.168.155.0/24. Только при совпадении всех указанных параметров пакет будет отброшен.
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/

Ausha
Сообщения: 33
Зарегистрирован: 20 фев 2020 19:52
Reputation: 0

Re: ACL на MES2324P

Сообщение Ausha » 02 авг 2021 16:33

Спасибо.

Такая логика работы ACL для всего оборудования ELTEX поддерживающего L3 или только MES, а у ESR по другому?

Привык к тому что в ACL фраза "any any" обозначает любой SRC IP любой DST IP, а в данном случае речь про MAC.


И провило из примера правильно привязывать к L3 интерфейсу подсети 192.168.155.0/24? Или к интерфейсу подсети 192.168.111.0/24?

так же возник вопрос:

Как у мака может быть wildcard mask?
синтаксис <SRC MAC + WC mask> <DST MAC + WC mask>
WC mask может быть только у IP сети. Или я чего то не знаю или не понимаю? Или при любом раскладе в ACL писать any any и дальше параметры IP?

Евгений Т
Сообщения: 1613
Зарегистрирован: 18 мар 2013 09:48
Reputation: 7
Откуда: Элтекс

Re: ACL на MES2324P

Сообщение Евгений Т » 02 авг 2021 16:57

Такая логика работы ACL для всего оборудования ELTEX поддерживающего L3 или только MES, а у ESR по другому?

У MES у большинства так. В зависимости от линейки может отличаться. Но правильный синтаксис вы можете посмотреть либо в документации, либо по подсказке shift+?. Про ESR не скажу. Лучше отдельную тему на них заведите.

И провило из примера правильно привязывать к L3 интерфейсу подсети 192.168.155.0/24? Или к интерфейсу подсети 192.168.111.0/24?

Можно привязать к любому interface vlan или к физическому интерфейсу. Главное, чтобы проходящие через интерфейс пакеты попадали под правила.

Как у мака может быть wildcard mask?
синтаксис <SRC MAC + WC mask> <DST MAC + WC mask>
WC mask может быть только у IP сети. Или я чего то не знаю или не понимаю? Или при любом раскладе в ACL писать any any и дальше параметры IP?

В этом плане MAC от IP ничем не отличается. Также можно указывать какие-то диапазоны MAC-адресов. Актуально, когда фильтрация выполняется по OUI (первым трём байтам мака) вендора.
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/

asy
Сообщения: 117
Зарегистрирован: 09 июн 2017 14:23
Reputation: 0

Re: ACL на MES2324P

Сообщение asy » 20 окт 2021 17:08

Евгений Т писал(а):Добрый день

Синтаксис:
permit/deny <protocol (если ip указать, то любой протокол> <SRC MAC + WC mask> <DST MAC + WC mask> <SRC IP + WC mask> <DST IP + WC mask>

Правило "deny ip any any 192.168.111.0 0.0.0.255 192.168.155.0 0.0.0.255 ace-priority 20" говорит:
запретить прохождение любого IP пакета с любым SRC MAC, с любым DST MAC, с SRC IP из подсети 192.168.111.0/24 в подсеть 192.168.155.0/24. Только при совпадении всех указанных параметров пакет будет отброшен.

Этот бы пример в документацию, а то там не так очевидно.
Сергей.

asy
Сообщения: 117
Зарегистрирован: 09 июн 2017 14:23
Reputation: 0

Re: ACL на MES2324P

Сообщение asy » 20 окт 2021 19:39

И ещё непонятный момент. На странице 297 MES_Series_user_manual_4.0.16.2.pdf написано, что у ip acl по умолчанию создаётся последнее правило deny any any any. А если хочется permit, то как?

Код: Выделить всё

console(config-ip-al)#permit any any any
% Wrong number of parameters or invalid range, size or characters entered

Хочу вот такое правило попробовать сделать:

Код: Выделить всё

!
ip access-list extended swprotect
 permit icmp any any any any ace-priority 20
 permit ip any any 172.16.0.0 0.15.255.255 any ace-priority 40
 deny ip any any any 172.16.26.46 0.0.0.0 ace-priority 60
 permit any any any ace-priority 80
exit
!
Сергей.

Евгений Т
Сообщения: 1613
Зарегистрирован: 18 мар 2013 09:48
Reputation: 7
Откуда: Элтекс

Re: ACL на MES2324P

Сообщение Евгений Т » 21 окт 2021 10:19

Добрый день.

Правило для разрешения всего трафика
permit ip any any any any

что у ip acl по умолчанию создаётся последнее правило deny any any any. А если хочется permit, то как?

В документации не совсем корректно написано. Правило является не последним в ACL, а выполняется уже после ACL для всего трафика, не попавшего под действие правил. И настраивается действие так:
console(config-if)#service-acl input 1 default-action
deny-any Deny forwarding of all unmatched traffic
permit-any Permit forwarding of all unmatched traffic
По дефолту deny-any.
В документации поправим описание в ближайшей версии ПО.
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/

Taboorat
Сообщения: 1
Зарегистрирован: 24 янв 2022 21:42
Reputation: 0

Re: ACL на MES2324P

Сообщение Taboorat » 24 янв 2022 21:57

Здравствуйте!
Пытаюсь назначить интерфейсам в качестве input ACL стандартный список доступа. (командой: Eltex(config-if)#service-acl input 1 (или MAIN))
В ответ получаю, данный ACL не создан, хотя и access-list 1, и access-list MAIN в конфигурации есть.
В чем может быть причина? Или стандартные списки доступа нельзя привязывать к интерфейсу?

Евгений Т
Сообщения: 1613
Зарегистрирован: 18 мар 2013 09:48
Reputation: 7
Откуда: Элтекс

Re: ACL на MES2324P

Сообщение Евгений Т » 25 янв 2022 09:18

Добрый день.

Стандартные ACL к интерфейсу нельзя привязать. Создайте обычный ACL.
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/

anikulichev
Сообщения: 3
Зарегистрирован: 21 ноя 2022 22:13
Reputation: 0

Re: ACL на MES2324P

Сообщение anikulichev » 24 ноя 2022 14:29

Коллеги, добрый день!

Задам, возможно тупой вопрос, как на MES2324P в расширенном ACL записать такое правило:

на циске в списке доступа есть такая строка: permit ip 10.9.2.128 0.0.0.63 any, как её перевести в acl на MES2324P?

Евгений Т
Сообщения: 1613
Зарегистрирован: 18 мар 2013 09:48
Reputation: 7
Откуда: Элтекс

Re: ACL на MES2324P

Сообщение Евгений Т » 24 ноя 2022 14:59

Добрый день.

Настройка так и будет выглядеть
console(config)#ip access-list extended 1
console(config-ip-al)# permit ip 10.9.2.128 0.0.0.63 any
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/

anikulichev
Сообщения: 3
Зарегистрирован: 21 ноя 2022 22:13
Reputation: 0

Re: ACL на MES2324P

Сообщение anikulichev » 24 ноя 2022 15:11

ввёл
ip access-list extended TEST
permit ip 10.9.2.128 0.0.0.63 any
end

получилось sh run
ip access-list extended TEST
permit ip any any 10.9.2.128 0.0.0.63 any ace-priority 20
exit

а что означают any any после ip?

Евгений Т
Сообщения: 1613
Зарегистрирован: 18 мар 2013 09:48
Reputation: 7
Откуда: Элтекс

Re: ACL на MES2324P

Сообщение Евгений Т » 24 ноя 2022 15:55

src mac и dst mac
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/

anikulichev
Сообщения: 3
Зарегистрирован: 21 ноя 2022 22:13
Reputation: 0

Re: ACL на MES2324P

Сообщение anikulichev » 28 ноя 2022 16:41

Хм... интересное решение и вроде как даже логично :)

Итого такой ACL на Cisco
ip access-list extended GUEST_IN_acl
remark PERMIT DHCP
permit udp host 0.0.0.0 eq bootpc host 255.255.255.255 eq bootps
permit udp 10.0.0.0 0.255.255.255 eq bootpc host 255.255.255.255 eq bootps
remark DENY rules
deny ip any 0.0.0.0 0.255.255.255
deny ip any host 255.255.255.255
deny ip any 127.0.0.0 0.255.255.255
deny ip any 224.0.0.0 15.255.255.255
deny ip any 240.0.0.0 7.255.255.255
deny ip any 169.254.0.0 0.0.255.255
deny ip any 192.0.2.0 0.0.0.255
deny ip any 10.0.0.0 0.255.255.255
deny ip any 172.16.0.0 0.15.255.255
deny ip any 192.168.0.0 0.0.255.255
remark WLAN Guest rules
permit ip 10.6.2.128 0.0.0.63 any
deny ip any any

на Элтекс будет выглядеть так:

ip access-list extended GUEST_IN_acl
permit udp 0.0.0.0 0.0.0.0 bootpc 255.255.255.255 0.0.0.0 bootps ace-priority 20
permit udp 10.0.0.0 0.255.255.255 bootpc 255.255.255.255 0.0.0.0 bootps ace-priority 40

deny ip any any any 0.0.0.0 0.255.255.255 ace-priority 60
deny ip any any any 255.255.255.255 0.0.0.0 ace-priority 80
deny ip any any any 127.0.0.0 0.255.255.255 ace-priority 100
deny ip any any any 224.0.0.0 15.255.255.255 ace-priority 120
deny ip any any any 240.0.0.0 7.255.255.255 ace-priority 140
deny ip any any any 169.254.0.0 0.0.255.255 ace-priority 160
deny ip any any any 192.0.2.0 0.0.0.255 ace-priority 180
deny ip any any any 10.0.0.0 0.255.255.255 ace-priority 200
deny ip any any any 172.16.0.0 0.15.255.255 ace-priority 220
deny ip any any any 192.168.0.0 0.0.255.255 ace-priority 240

permit ip any any 10.6.2.128 0.0.0.63 any ace-priority 260
exit
?

Евгений Т
Сообщения: 1613
Зарегистрирован: 18 мар 2013 09:48
Reputation: 7
Откуда: Элтекс

Re: ACL на MES2324P

Сообщение Евгений Т » 01 дек 2022 09:02

Добрый день.

Проверил. Должно работать одинаково.
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/


Вернуться в «Коммутаторы и маршрутизаторы Ethernet»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 15 гостей