О деактивации форума Eltex

Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.

Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.

ACL для трафика PPPoE на коммутаторах MES5324 и MES2324

MES, ESR
nevs
Сообщения: 6
Зарегистрирован: 18 апр 2022 22:23
Reputation: 0

ACL для трафика PPPoE на коммутаторах MES5324 и MES2324

Сообщение nevs » 18 апр 2022 22:40

Добрый день.
Интересует вопрос может ли данное оборудование MES5324(4.0.6) и MES2324(4.0.16), производить фильтрацию на основе ACL правил в PPPoE трафике, еще и при условии что ACL правило навешено на SPAN-порт?

prokopov
Сообщения: 15
Зарегистрирован: 28 фев 2022 15:18
Reputation: 0

Re: ACL для трафика PPPoE на коммутаторах MES5324 и MES2324

Сообщение prokopov » 22 апр 2022 09:35

Добрый день. Прошу подробнее описать ваш вопрос. Вам необходимо создать ACL для пропуска всего pppoe трафика, входящего на порт коммутатора? Тогда можно сделать так :

Код: Выделить всё

mac access-list extended test
 permit any any 8863 0000 ace-priority 20
 permit any any 8864 0000 ace-priority 40
 deny any any ace-priority 60
exit
!
interface gigabitethernet1/0/24
 service-acl input test
exit
!

Или нужно пропускать определенные пакеты из pppoe трафика? Тогда прошу подробнее описать.
Также не совсем ясно второе условие. Вы хотите отзеркалировать с порта только тот трафик,который попадает под ACL?
Евгений Прокопов / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/

nevs
Сообщения: 6
Зарегистрирован: 18 апр 2022 22:23
Reputation: 0

Re: ACL для трафика PPPoE на коммутаторах MES5324 и MES2324

Сообщение nevs » 22 апр 2022 20:48

Я хочу трафик, с порта куда подключен BRAS (PPPoE), зеркалить в порт SPAN, и на этот порт SPAN навесить правила ACL, чтобы пропускал весь трафик PPPoE, но при этом не пропускал трафик к примеру на 8.8.8.8 (это просто для примера).
P.S. вешать ACL на порт с BRAS, нельзя, т.к. абонам зарежется доступ к 8.8.8.8

prokopov
Сообщения: 15
Зарегистрирован: 28 фев 2022 15:18
Reputation: 0

Re: ACL для трафика PPPoE на коммутаторах MES5324 и MES2324

Сообщение prokopov » 28 апр 2022 14:03

Добрый день. Насколько я понял вашу схему, то могу предложить решение с использованием физической петли на коммутаторе. В конфигурации ниже трафик с BRAS приходит в порт коммутатора gi 0/6 c pvid 10, далее зеркалируется на порт gi0/7, с gi0/7 уходит на порт gi0/8 c pvid 100:10(физически соединяем порты gi 0/7 и gi 0/8), на входе в gi0/8 попадает под ACL, который фильтрует весь трафик кроме pppoe, далее переходит в gi0/9 с pvid 100:10, на выходе gi0/9 снимается верхняя метка pvid 100, отзеркалированный трафик pppoe с BRAS уходит в анализатор.

Код: Выделить всё

vlan mode tr101
!
vlan database
 vlan 10,100
exit
!
mac access-list extended test
 permit any any 8863 0000 ace-priority 20
 permit any any 8864 0000 ace-priority 40
 deny any any ace-priority 60
exit
!
interface gigabitethernet1/0/6
 switchport mode trunk
 switchport trunk allowed vlan add 10
exit
!
interface gigabitethernet1/0/7                       
 port monitor gigabitethernet1/0/6
 spanning-tree disable
 spanning-tree bpdu filtering
exit
!
interface gigabitethernet1/0/8
 spanning-tree disable
 spanning-tree bpdu filtering
 service-acl input test
 switchport mode customer
 switchport customer vlan 100
exit
!
interface gigabitethernet1/0/9
 switchport mode customer
 switchport customer vlan 100
exit
!
Евгений Прокопов / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/

nevs
Сообщения: 6
Зарегистрирован: 18 апр 2022 22:23
Reputation: 0

Re: ACL для трафика PPPoE на коммутаторах MES5324 и MES2324

Сообщение nevs » 28 апр 2022 21:15

Согласно вашей рекомендации сделал такие настройки:

Код: Выделить всё

vlan mode tr101
!
vlan database
 vlan 10,14,16,18-19,41-49,51-55,99,150,213,248,401-430,1100-1999
exit
mac access-list extended test
 permit any any 8863 0000 ace-priority 20
 permit any any 8864 0000 ace-priority 40
 deny any any ace-priority 60
exit
interface gigabitethernet1/0/20
 description BRAS
 switchport mode trunk
 switchport trunk allowed vlan add 1100-1999
exit
interface gigabitethernet1/0/24
 port monitor gigabitethernet1/0/20
 spanning-tree disable
 spanning-tree bpdu filtering
exit
interface gigabitethernet1/0/22
 description Bуpass
 spanning-tree disable
 spanning-tree bpdu filtering
 service-acl input test
 switchport mode customer
 switchport customer vlan 10
exit
!
interface gigabitethernet1/0/23
 description Analizator
 switchport mode customer
 switchport customer vlan 10
exit

20 порт подключен BRAS
24 порт зеркалим трафик с 20 порт
24 порт и 22 порт физический подключены патчкордом
23 порт анализатор (ноут с wireshark)
При такой конфигурации на 23 порту ожидаемого трафика нет, т.е. его нет практический.
На момент ответа, на порту 22 200 Мбит/с трафик, а на 23 только 35 Кбит\с

prokopov
Сообщения: 15
Зарегистрирован: 28 фев 2022 15:18
Reputation: 0

Re: ACL для трафика PPPoE на коммутаторах MES5324 и MES2324

Сообщение prokopov » 05 май 2022 10:54

Добрый день. Написанный ACL фильтрует пакеты по полю Ethertype (0x8863 - PPPoE Discovery Stage
0x8864 - PPPoE Session Stage). Соответственно, на анализатор попадают исключительно пакеты с указанными Ethertype, а не весь абонентский трафик.
Прошу вас написать подробные требования для трафика, который вы хотите видеть на анализаторе.
Евгений Прокопов / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/

nevs
Сообщения: 6
Зарегистрирован: 18 апр 2022 22:23
Reputation: 0

Re: ACL для трафика PPPoE на коммутаторах MES5324 и MES2324

Сообщение nevs » 05 май 2022 15:18

По поводу трафика.
На анализатор должен попадать все трафик PPPoE, кроме (например) трафик от клиента к 8.8.8.8 и наоборот от 8.8.8.8 к клиенту.

Код: Выделить всё

vlan mode tr101
!
vlan database
 vlan 10,14,16,18-19,41-49,51-55,99,150,213,248,401-430,1100-1999
exit
interface gigabitethernet1/0/20
 description BRAS
 switchport mode trunk
 switchport trunk allowed vlan add 1100-1999
exit
interface gigabitethernet1/0/24
 port monitor gigabitethernet1/0/20
 spanning-tree disable
 spanning-tree bpdu filtering
exit
interface gigabitethernet1/0/22
 description Bуpass
 spanning-tree disable
 spanning-tree bpdu filtering
 service-acl input test
 switchport mode customer
 switchport customer vlan 10
exit
!
interface gigabitethernet1/0/23
 description Analizator
 switchport mode customer
 switchport customer vlan 10
exit

В эту конфигурацию (которая выше) добавил следующие настройки:

Код: Выделить всё

no mac address-table learning vlan 10

и трафик на 23 порту появился как надо, весь и PPPoE и остальной.
Вот с такой ACL:

Код: Выделить всё

mac access-list extended test
 offset-list cachesor l2 38 00 08 l2 39 00 08 l2 40 00 08 l2 41 00 08
 deny any any offset-list cachesor ace-priority 20
 permit any any ace-priority 40
exit

Все фильтрует как надо, но если добавить еще одно условие, то коммутатор ругается что больше 5-ти смещений уже не может.
Делал еще одно правило ACL, с другим условием для фильтрации другого ip адрес, но второе правило ACL не дает навесить на порт.
Как то можно ли это сделать по другому?
Или подскажите какое оборудование сможет обработать несколько условий для смещения или больше правил ACL на порт.

prokopov
Сообщения: 15
Зарегистрирован: 28 фев 2022 15:18
Reputation: 0

Re: ACL для трафика PPPoE на коммутаторах MES5324 и MES2324

Сообщение prokopov » 11 май 2022 11:25

Добрый день.
Все фильтрует как надо, но если добавить еще одно условие, то коммутатор ругается что больше 5-ти смещений уже не может.

Да, но можно расширить до 13 командой set system mode acl-sqinq-udb за счет уменьшения количества возможных правил sQinQ. Применение команды сопровождается удалением конфигурации и перезагрузкой устройства.

Если вы пришлете дамп трафика и покажите какие именно пакеты вам необходимо фильтровать, мы сможем предложить другое решение.
Евгений Прокопов / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/

nevs
Сообщения: 6
Зарегистрирован: 18 апр 2022 22:23
Reputation: 0

Re: ACL для трафика PPPoE на коммутаторах MES5324 и MES2324

Сообщение nevs » 11 май 2022 13:57

prokopov писал(а):Добрый день.
Все фильтрует как надо, но если добавить еще одно условие, то коммутатор ругается что больше 5-ти смещений уже не может.

Да, но можно расширить до 13 командой set system mode acl-sqinq-udb за счет уменьшения количества возможных правил sQinQ. Применение команды сопровождается удалением конфигурации и перезагрузкой устройства.

Если вы пришлете дамп трафика и покажите какие именно пакеты вам необходимо фильтровать, мы сможем предложить другое решение.

Отправил вам личным сообщением

prokopov
Сообщения: 15
Зарегистрирован: 28 фев 2022 15:18
Reputation: 0

Re: ACL для трафика PPPoE на коммутаторах MES5324 и MES2324

Сообщение prokopov » 15 июн 2022 12:15

Добрый день. В ходе разбора задачи пришли к выводу, что оптимальным решением является предложенная схема зеркалирования трафика, написанный вами ACL и увеличение возможности фильтрации по оффсетам с 5 до 13.
Евгений Прокопов / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/


Вернуться в «Коммутаторы и маршрутизаторы Ethernet»

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и 16 гостей