О деактивации форума Eltex

Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.

Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.

Access List на Mes3316F

MES, ESR
root-87
Сообщения: 2
Зарегистрирован: 25 мар 2023 19:04
Reputation: 0

Access List на Mes3316F

Сообщение root-87 » 25 мар 2023 19:08

Добрый день !

Прошу подсказать реализацию ACL (Access List) для изоляции пользователей одной сети, на исходящий трафик до следующих сетей, с последующим правилом для разрешения всего остального.:
Входящий трафик должен работать.

10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

На Cisco допустим вешается этот Acl на Interface vlan сети с опцией OUT.

На Eltex на interface Vlan сделать можно только IN.

root-87
Сообщения: 2
Зарегистрирован: 25 мар 2023 19:04
Reputation: 0

Re: Access List на Mes3316F

Сообщение root-87 » 25 мар 2023 21:51

В ТП предложили так, но это не выход, входящий трафик блокируется.

ip access-list extended Test
deny ip any any any 10.0.0.0 0.255.255.255 ace-priority 20
deny ip any any any 172.16.0.0 0.15.255.255 ace-priority 40
deny ip any any any 192.168.0.0 0.0.255.255 ace-priority 60
permit ip any any any any ace-priority 80
exit


interface vlan 501
service-acl input Test

junkie_raccoon
Сообщения: 14
Зарегистрирован: 11 мар 2022 15:10
Reputation: 0

Re: Access List на Mes3316F

Сообщение junkie_raccoon » 30 мар 2023 12:53

Добрый день!

Ответ был дан в рамках заявки. Продублирую ответ

Код: Выделить всё

В данном ACL есть правило, которое блокирует изолируемую подсеть, а именно:

deny ip any any 172.26.4.0 0.0.1.255 172.16.0.0 0.15.255.255 ace-priority 40

Так как указаны адреса источника от 172.26.4.1 до 172.26.5.254, а адреса назначения от 172.16.0.1 до 172.31.255.254. Любой пакет в подсети 172.26.4.0/23 будет отброшен и устройства не смогут взаимодействовать друг с другом.
Необходимо, либо убрать данное правило, либо изменить dst адрес.

Так же, если в Вашей сети есть адреса 172.16.0.0-172.25.255.255; 172.26.6.0-172.31.255.255 для которох необходима изоляция, то можно попробовать добавить разрешающее правило в более ранней секции:
permit ip any any 172.26.4.0 0.0.1.255 172.26.4.0 0.0.1.255 ace-priority 10
Денис Лизнев / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/


Вернуться в «Коммутаторы и маршрутизаторы Ethernet»

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и 10 гостей