MES2428 не применяются ACL

[d771]

Здравствуйте!
Имею последний софт и загрузчик на MES2428, и никак не получается сконфигурировать ACL - часть из них просто пропадает.

Лог из консоли (добавляю ACL в пустую конфигурацию после сброса):

Код: Выделить всё

console#sh run

#Building configuration...
#ISS config ver. 6; SW ver. 10.2.7.2 (bb0709ee) for MES2428. Do not remove or edit this line
!                       
end
console#conf t
console(config)#user-defined offset 1 ethtype 0
console(config)#user-defined offset 2 l2 3
console(config)#
console(config)#mac access-list extended 2
console(config-ext-macl)# deny 00:00:00:00:00:00 00:00:00:00:00:00 any
console(config-ext-macl)# deny ff:ff:ff:ff:ff:ff 00:00:00:00:00:00 any
console(config-ext-macl)# deny any 02:00:00:00:00:00 00:00:00:ff:ff:ff
console(config-ext-macl)#
console(config-ext-macl)# deny any any user-defined offset1 0x8863 0xffff offset2 0x0007 0x00ff
console(config-ext-macl)#
console(config-ext-macl)# permit any any user-defined offset1 0x0800 0xffff
console(config-ext-macl)# permit any any user-defined offset1 0x0806 0xffff
console(config-ext-macl)# permit any any user-defined offset1 0x8899 0xffff
console(config-ext-macl)# permit any any user-defined offset1 0x8863 0xffff
console(config-ext-macl)# permit any any user-defined offset1 0x8864 0xffff
console(config-ext-macl)# deny any any
console(config-ext-macl)#exit
console(config)#
console(config)#ip access-list extended 1001
console(config-ext-nacl)# deny udp any eq 161 any
console(config-ext-nacl)# deny ip 192.168.133.1 255.255.255.255 any
console(config-ext-nacl)#exit
console(config)#ex
console#sh run

#Building configuration...
#ISS config ver. 6; SW ver. 10.2.7.2 (bb0709ee) for MES2428. Do not remove or edit this line
!                   
user-defined offset 1 ethtype 0
user-defined offset 2 l2 3
!
ip access-list extended 1001
  deny ip host 192.168.133.1 any
! 
mac access-list extended 2
  deny ff:ff:ff:ff:ff:ff 00:00:00:00:00:00 02:00:00:00:00:00 00:00:00:ff:ff:ff
! 
end

console#sh access-lists

IP ACCESS LISTS
-----------------

Extended IP Access List 1001
-----------------------------
 Filter Priority                  : 1
 Filter Protocol Type             : ANY
 IP address Type                  : IPV4             
 Source IP address                : 192.168.133.1   
 Source IP address mask           : 255.255.255.255 
 Source IP Prefix Length          : 32               
 Destination IP address           : 0.0.0.0         
 Destination IP address mask      : 0.0.0.0         
 Destination IP Prefix Length     : 0               
 Flow Identifier                  : 0               
 In Port List                     : NIL
 In Port Channel List             : NIL
 Out Port List                    : NIL
 Out Port Channel List            : NIL
 Filter TOS                       : Invalid combination
 Filter DSCP                      : NIL
 Filter Traffic-Class             : NIL
 Service Vlan                     : 0               
 Service Vlan Priority            : None             
 Customer Vlan                    : 0               
 Customer Vlan Priority           : None             
 Packet Tag Type                  : Single-tag       
 Filter Action                    : Deny
 Filter Creation Mode             : External
 Redirect Port List               : NIL
 TrafficDistField                 : Unknown
 Sub Action                       : NONE
 Sub Action Id                    : 0
 Status                           : InActive
 Offset1 pattern                  : 0x0000
 Offset1 mask                     : 0x0000
 Offset2 pattern                  : 0x0000
 Offset2 mask                     : 0x0000
 Offset3 pattern                  : 0x0000
 Offset3 mask                     : 0x0000
 Offset4 pattern                  : 0x0000
 Offset4 mask                     : 0x0000




MAC ACCESS LISTS
-----------------

Extended MAC Access List 2
-----------------------------
 Filter Priority                  : 1
 Ether Type                       : 0
 Protocol Type                    : 0
 Vlan Id                          : 0
 Destination MAC Address          : 02:00:00:00:00:00   
 Destination MAC Address Mask     : 00:00:00:ff:ff:ff   
 Source MAC Address               : ff:ff:ff:ff:ff:ff   
 Source MAC Address Mask          : 00:00:00:00:00:00   
 In Port List                     : NIL
 In Port Channel List             : NIL
 Out Port List                    : NIL
 Out Port Channel List            : NIL
 Outer EtherType                  : 0               
 Service Vlan                     : 0               
 Service Vlan Priority            : None             
 Customer Vlan Priority           : None             
 Packet Tag Type                  : Single-tag       
 Filter Action                    : Deny
 Filter Creation Mode             : External
 Redirect Port List               : NIL
 TrafficDistField                 : Unknown
 Sub Action                       : NONE
 Sub Action Id                    : 0
 Status                           : InActive
 Offset1 pattern                  : 0x0000
 Offset1 mask                     : 0x0000
 Offset2 pattern                  : 0x0000
 Offset2 mask                     : 0x0000
 Offset3 pattern                  : 0x0000
 Offset3 mask                     : 0x0000
 Offset4 pattern                  : 0x0000
 Offset4 mask                     : 0x0000





USER DEFINED LISTS
----------------------

 No User Defined Lists have been configured



[Евгений Т]

Добрый день.

1 ACL содержить одно правило на линейке коммутаторов MES24xx.
Пример настройки можете посмотреть по ссылке https://docs.eltex-co.ru/pages/viewpage ... =165445712

[d771]

1 ACL содержить одно правило на линейке коммутаторов MES24xx.

Планируется ли в ближайшее время привести синтаксис в соостветствие с остальными свичами eltex?
Не очень интуитивно получается, тогда правильнее бы было называть категорию не "access-list" а "access-rule" если в ней всего одно правило.

[Евгений Т]

Добрый день.

Чтобы привести к единообразию, потребуется огромное кол-во трудозатрат и всё равно не удастся добиться полной идентичности. Т.к MES24xx сделаны на чипах Realtek, там есть свои особенности. Сам синтаксис ACL не сильно отличается. Отличается лишь формат (что в 1 ACL записывается одно правило). При этом в текущей реализации сам функционал работает корректно и выполняет тот же объём задач, что и на остальных линейках.