Добрый день.
Интересует вопрос может ли данное оборудование MES5324(4.0.6) и MES2324(4.0.16), производить фильтрацию на основе ACL правил в PPPoE трафике, еще и при условии что ACL правило навешено на SPAN-порт?
О деактивации форума Eltex
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
ACL для трафика PPPoE на коммутаторах MES5324 и MES2324
Re: ACL для трафика PPPoE на коммутаторах MES5324 и MES2324
Добрый день. Прошу подробнее описать ваш вопрос. Вам необходимо создать ACL для пропуска всего pppoe трафика, входящего на порт коммутатора? Тогда можно сделать так :
Или нужно пропускать определенные пакеты из pppoe трафика? Тогда прошу подробнее описать.
Также не совсем ясно второе условие. Вы хотите отзеркалировать с порта только тот трафик,который попадает под ACL?
Код: Выделить всё
mac access-list extended test
permit any any 8863 0000 ace-priority 20
permit any any 8864 0000 ace-priority 40
deny any any ace-priority 60
exit
!
interface gigabitethernet1/0/24
service-acl input test
exit
!
Или нужно пропускать определенные пакеты из pppoe трафика? Тогда прошу подробнее описать.
Также не совсем ясно второе условие. Вы хотите отзеркалировать с порта только тот трафик,который попадает под ACL?
Евгений Прокопов / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/
Re: ACL для трафика PPPoE на коммутаторах MES5324 и MES2324
Я хочу трафик, с порта куда подключен BRAS (PPPoE), зеркалить в порт SPAN, и на этот порт SPAN навесить правила ACL, чтобы пропускал весь трафик PPPoE, но при этом не пропускал трафик к примеру на 8.8.8.8 (это просто для примера).
P.S. вешать ACL на порт с BRAS, нельзя, т.к. абонам зарежется доступ к 8.8.8.8
P.S. вешать ACL на порт с BRAS, нельзя, т.к. абонам зарежется доступ к 8.8.8.8
Re: ACL для трафика PPPoE на коммутаторах MES5324 и MES2324
Добрый день. Насколько я понял вашу схему, то могу предложить решение с использованием физической петли на коммутаторе. В конфигурации ниже трафик с BRAS приходит в порт коммутатора gi 0/6 c pvid 10, далее зеркалируется на порт gi0/7, с gi0/7 уходит на порт gi0/8 c pvid 100:10(физически соединяем порты gi 0/7 и gi 0/8), на входе в gi0/8 попадает под ACL, который фильтрует весь трафик кроме pppoe, далее переходит в gi0/9 с pvid 100:10, на выходе gi0/9 снимается верхняя метка pvid 100, отзеркалированный трафик pppoe с BRAS уходит в анализатор.
Код: Выделить всё
vlan mode tr101
!
vlan database
vlan 10,100
exit
!
mac access-list extended test
permit any any 8863 0000 ace-priority 20
permit any any 8864 0000 ace-priority 40
deny any any ace-priority 60
exit
!
interface gigabitethernet1/0/6
switchport mode trunk
switchport trunk allowed vlan add 10
exit
!
interface gigabitethernet1/0/7
port monitor gigabitethernet1/0/6
spanning-tree disable
spanning-tree bpdu filtering
exit
!
interface gigabitethernet1/0/8
spanning-tree disable
spanning-tree bpdu filtering
service-acl input test
switchport mode customer
switchport customer vlan 100
exit
!
interface gigabitethernet1/0/9
switchport mode customer
switchport customer vlan 100
exit
!
Евгений Прокопов / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/
Re: ACL для трафика PPPoE на коммутаторах MES5324 и MES2324
Согласно вашей рекомендации сделал такие настройки:
20 порт подключен BRAS
24 порт зеркалим трафик с 20 порт
24 порт и 22 порт физический подключены патчкордом
23 порт анализатор (ноут с wireshark)
При такой конфигурации на 23 порту ожидаемого трафика нет, т.е. его нет практический.
На момент ответа, на порту 22 200 Мбит/с трафик, а на 23 только 35 Кбит\с
Код: Выделить всё
vlan mode tr101
!
vlan database
vlan 10,14,16,18-19,41-49,51-55,99,150,213,248,401-430,1100-1999
exit
mac access-list extended test
permit any any 8863 0000 ace-priority 20
permit any any 8864 0000 ace-priority 40
deny any any ace-priority 60
exit
interface gigabitethernet1/0/20
description BRAS
switchport mode trunk
switchport trunk allowed vlan add 1100-1999
exit
interface gigabitethernet1/0/24
port monitor gigabitethernet1/0/20
spanning-tree disable
spanning-tree bpdu filtering
exit
interface gigabitethernet1/0/22
description Bуpass
spanning-tree disable
spanning-tree bpdu filtering
service-acl input test
switchport mode customer
switchport customer vlan 10
exit
!
interface gigabitethernet1/0/23
description Analizator
switchport mode customer
switchport customer vlan 10
exit
20 порт подключен BRAS
24 порт зеркалим трафик с 20 порт
24 порт и 22 порт физический подключены патчкордом
23 порт анализатор (ноут с wireshark)
При такой конфигурации на 23 порту ожидаемого трафика нет, т.е. его нет практический.
На момент ответа, на порту 22 200 Мбит/с трафик, а на 23 только 35 Кбит\с
Re: ACL для трафика PPPoE на коммутаторах MES5324 и MES2324
Добрый день. Написанный ACL фильтрует пакеты по полю Ethertype (0x8863 - PPPoE Discovery Stage
0x8864 - PPPoE Session Stage). Соответственно, на анализатор попадают исключительно пакеты с указанными Ethertype, а не весь абонентский трафик.
Прошу вас написать подробные требования для трафика, который вы хотите видеть на анализаторе.
0x8864 - PPPoE Session Stage). Соответственно, на анализатор попадают исключительно пакеты с указанными Ethertype, а не весь абонентский трафик.
Прошу вас написать подробные требования для трафика, который вы хотите видеть на анализаторе.
Евгений Прокопов / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/
Re: ACL для трафика PPPoE на коммутаторах MES5324 и MES2324
По поводу трафика.
На анализатор должен попадать все трафик PPPoE, кроме (например) трафик от клиента к 8.8.8.8 и наоборот от 8.8.8.8 к клиенту.
В эту конфигурацию (которая выше) добавил следующие настройки:
и трафик на 23 порту появился как надо, весь и PPPoE и остальной.
Вот с такой ACL:
Все фильтрует как надо, но если добавить еще одно условие, то коммутатор ругается что больше 5-ти смещений уже не может.
Делал еще одно правило ACL, с другим условием для фильтрации другого ip адрес, но второе правило ACL не дает навесить на порт.
Как то можно ли это сделать по другому?
Или подскажите какое оборудование сможет обработать несколько условий для смещения или больше правил ACL на порт.
На анализатор должен попадать все трафик PPPoE, кроме (например) трафик от клиента к 8.8.8.8 и наоборот от 8.8.8.8 к клиенту.
Код: Выделить всё
vlan mode tr101
!
vlan database
vlan 10,14,16,18-19,41-49,51-55,99,150,213,248,401-430,1100-1999
exit
interface gigabitethernet1/0/20
description BRAS
switchport mode trunk
switchport trunk allowed vlan add 1100-1999
exit
interface gigabitethernet1/0/24
port monitor gigabitethernet1/0/20
spanning-tree disable
spanning-tree bpdu filtering
exit
interface gigabitethernet1/0/22
description Bуpass
spanning-tree disable
spanning-tree bpdu filtering
service-acl input test
switchport mode customer
switchport customer vlan 10
exit
!
interface gigabitethernet1/0/23
description Analizator
switchport mode customer
switchport customer vlan 10
exit
В эту конфигурацию (которая выше) добавил следующие настройки:
Код: Выделить всё
no mac address-table learning vlan 10
и трафик на 23 порту появился как надо, весь и PPPoE и остальной.
Вот с такой ACL:
Код: Выделить всё
mac access-list extended test
offset-list cachesor l2 38 00 08 l2 39 00 08 l2 40 00 08 l2 41 00 08
deny any any offset-list cachesor ace-priority 20
permit any any ace-priority 40
exit
Все фильтрует как надо, но если добавить еще одно условие, то коммутатор ругается что больше 5-ти смещений уже не может.
Делал еще одно правило ACL, с другим условием для фильтрации другого ip адрес, но второе правило ACL не дает навесить на порт.
Как то можно ли это сделать по другому?
Или подскажите какое оборудование сможет обработать несколько условий для смещения или больше правил ACL на порт.
Re: ACL для трафика PPPoE на коммутаторах MES5324 и MES2324
Добрый день.
Да, но можно расширить до 13 командой set system mode acl-sqinq-udb за счет уменьшения количества возможных правил sQinQ. Применение команды сопровождается удалением конфигурации и перезагрузкой устройства.
Если вы пришлете дамп трафика и покажите какие именно пакеты вам необходимо фильтровать, мы сможем предложить другое решение.
Все фильтрует как надо, но если добавить еще одно условие, то коммутатор ругается что больше 5-ти смещений уже не может.
Да, но можно расширить до 13 командой set system mode acl-sqinq-udb за счет уменьшения количества возможных правил sQinQ. Применение команды сопровождается удалением конфигурации и перезагрузкой устройства.
Если вы пришлете дамп трафика и покажите какие именно пакеты вам необходимо фильтровать, мы сможем предложить другое решение.
Евгений Прокопов / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/
Re: ACL для трафика PPPoE на коммутаторах MES5324 и MES2324
prokopov писал(а):Добрый день.Все фильтрует как надо, но если добавить еще одно условие, то коммутатор ругается что больше 5-ти смещений уже не может.
Да, но можно расширить до 13 командой set system mode acl-sqinq-udb за счет уменьшения количества возможных правил sQinQ. Применение команды сопровождается удалением конфигурации и перезагрузкой устройства.
Если вы пришлете дамп трафика и покажите какие именно пакеты вам необходимо фильтровать, мы сможем предложить другое решение.
Отправил вам личным сообщением
Re: ACL для трафика PPPoE на коммутаторах MES5324 и MES2324
Добрый день. В ходе разбора задачи пришли к выводу, что оптимальным решением является предложенная схема зеркалирования трафика, написанный вами ACL и увеличение возможности фильтрации по оффсетам с 5 до 13.
Евгений Прокопов / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/
Вернуться в «Коммутаторы и маршрутизаторы Ethernet»
Кто сейчас на конференции
Сейчас этот форум просматривают: Google [Bot] и 11 гостей