MES3324F | ACL заблокировать PADO

[Savamoti]

Здравствуйте, прошу помощи по постройки ACL.

Вот схема для теста:

somple.png (25.69 КБ) 5800 просмотров

Сижу на ПК A1.

Код: Выделить всё

MES3324F#sh ver
Active-image: flash://system/images/mes3300-4093.ros
  Version: 4.0.9.3
  Commit: f2c513a9
  Build: 25 (master)
  MD5 Digest: 5ce913df33e764122212809ecfd72a5b
  Date: 04-Jun-2018
  Time: 18:55:37

MES3324F#sh system
System Description:                       MES3324F 28-port 1G/10G Managed Switch


Конфиг коммутатора:

Код: Выделить всё

MES3324F#sh ru
vlan database
 vlan 51,999,3001
exit
!
mac access-list extended test
exit
!
!
logging cli-commands
logging file informational
!
clock timezone " " +7
!
interface gigabitethernet1/0/11
 description uplink
 switchport mode general
 switchport general allowed vlan add 51,999,3001 tagged
exit
!
interface gigabitethernet1/0/12
 description downlink
 switchport mode general
 switchport general allowed vlan add 51,999,3001 tagged
exit
!
interface vlan 51
 name manage-access
exit
!
interface vlan 999
 name manage
 ip address 10.90.89.1 255.255.255.0
exit
!
interface vlan 3001
 name pppoe
exit
!
!
end

Основная задача: Заблокировать во VLAN 3001 всё, кроме PPPoE трафика и заблокировать PADO на определённых портах(в данном случае на 11 порту). Трафик в других VLAN не трогать.

[Savamoti]

Что делал: Удалось заблокировать всё, кроме PPPoE, накинув mac ACL на VLAN 3001

Код: Выделить всё

mac access-list extended only-pppoe
 permit any any 8863 0000 ace-priority 20
 permit any any 8864 0000 ace-priority 40             
 deny any any ace-priority 60


Чтобы проще было, ответьте на вопросы по цифрам:
1) Но мне нужно ещё порезать PADO, а если применю PADO на VLAN, то PADO дропнется на всех интерфейсах, где прописан VLAN 3001. Я ведь правильно понимаю? Надо создать ACL с моими условиями и повесить на физические интерфейсы, откуда я не хочу получать PADO?


Вот сам пакет:

Код: Выделить всё

tcpdump: listening on enp4s7, link-type EN10MB (Ethernet), capture size 262144 bytes
12:07:24.110345 PPPoE PADO [Service-Name] [AC-Name "NAS2.intertelecom.org"]
  0x0000:  0080 485a 7a26 4c5e 0c63 8c9c 8100 0bb9  ..HZz&L^.c......
  0x0010:  8863 1107 0000 001d 0101 0000 0102 0015  .c..............
  0x0020:  4e41 5332 2e69 6e74 6572 7465 6c65 636f  NAS2.interteleco
  0x0030:  6d2e 6f72 6700 0000 0000 0000            m.org.......


PADO придётся резать на основе содержания пакета использую offset(или можно по другому?).
2) Правильно ли я понимаю составление ACL: Смещение происходит по 1 байту и начинается от того, что укажешь:
например для ethertype выделено 2 байта, т.е. 0 или 1

Код: Выделить всё

ethtype(0..1)

dst-mac 6 байт, т.е. 0-5

Код: Выделить всё

dst-mac(0..5)


3) От чего считать смещение по l2? от начала ethernet заголовков? с конца?

Код: Выделить всё

l2(0..127)

Ниже пробовал составлять разные mac ACL, создав его вешал его на gi1/0/11:

Код: Выделить всё

interface gigabitethernet1/0/11
 description uplink
 service-acl input test

# смещение l2 PADO
mac access-list extended test
 offset-list pado l2 7 00 08
 deny any any vlan 3001 8863 0000 offset-list pado ace-priority 20 log-input
 permit any any vlan 3001 8863 0000 ace-priority 40
 permit any any vlan 3001 8864 0000 ace-priority 60
 deny any any vlan 3001 ace-priority 80
 permit any any ace-priority 100


# смещение ethertype и l2 PADO
mac access-list extended test
 offset-list pado ethtype 0 00 88 ethtype 1 00 63 l2 7 00 07
 deny any any vlan 3001 offset-list pado ace-priority 20
 permit any any vlan 3001 8863 0000 ace-priority 40
 permit any any vlan 3001 8864 0000 ace-priority 60
 deny any any vlan 3001 ace-priority 80
 permit any any ace-priority 100

# смещение outer-tag, ethertype, l2 PADO
mac access-list extended test
 offset-list pado outer-tag 0 00 0b outer-tag 1 00 b9 ethtype 0 00 88 ethtype 1 00 63 l2 7 00 07
 deny any any offset-list pado ace-priority 20 log-input
 permit any any vlan 3001 8863 0000 ace-priority 40
 permit any any vlan 3001 8864 0000 ace-priority 60
 deny any any vlan 3001 ace-priority 80
 permit any any ace-priority 100


Что я делаю не так?

[Евгений Т]

Здравствуйте.

Основная задача: Заблокировать во VLAN 3001 всё, кроме PPPoE трафика и заблокировать PADO на определённых портах(в данном случае на 11 порту). Трафик в других VLAN не трогать.

Но за 11 портом находится сервер. Вероятно требуется запретить PADO с клиентского порта? Т.е с 12?

Перед началом обсуждения offset-list прошу прояснить цель запрещения PADO. Целью является защита от подмены PPPoE сервера, когда он находится за другим клиентским портом?

[Savamoti]

Цель защититься от поддельных PPPoE серверов на клиентских портах(и определённом влане), а вешал ACL на 11 порт(в сторону сервера), чтобы проверить работу ACL. Если ACL работает, значит я на своём ПК A1 не смогу поднять сессию. Чтобы я не прописывал, сессию всё равно удаётся поднять.

[Евгений Т]

В таком случае наиболее правильная конфигурация будет выглядеть следующим образом:

mac access-list extended only-pppoe
permit any any 8863 0000 ace-priority 20
permit any any 8864 0000 ace-priority 40
!
pppoe intermediate-agent
!
int gi0/12
pppoe intermediate-agent
!
int gi 0/11
pppoe intermediate-agent trust
!
int vl 3001
service-acl input only-pppoe

PADI будут рассылаться только на trust порт (порт в сторону сервера). Поскольку они не попадут на клиентские порты (untrusted), то и PADO оттуда не прилетят.
В MAC acl убрал правило deny any any, потому что оно работает по дефолту.

[Savamoti]

Проверил, работает как надо. Спасибо большое Евгений Т, у вас уютный форум и отвечаете быстро.
Решение оказалось таким простым)

Есть ещё у нас клиенты с L2VPN(арендуют VLAN у нас).
Изначально я хотел порезать PADO только в определённом VLAN, а так он будет применяться к любому трафику на клиентском порту(т.е. если в клиентском VLAN будет PPPoE сервер, PADO ведь отбросится).
Не думаю, что найдутся такие извращенцы, кто будет гонять PPPoE через арендуемый VLAN)

Но всё же попрошу вас помочь с offset-list(вдруг такие извращены найдутся).
Не буду же я вас дёргать постоянно, если вдруг какое ещё правило надо будет написать.

3) От чего считать смещение по l2? от начала ethernet заголовка? с конца?

Код: Выделить всё

l2(0..127)

Где я ошибся? Почему ACL'ли не работают?

[Евгений Т]

Прошу прикрепить pcap файл с PADO. Тогда будет удобнее с offset-list разбираться.

[Savamoti]

Вот

pado.pcapng.zip

(488 байт) 186 скачиваний

[Евгений Т]

Здравствуйте.

Извиняюсь за задержку с ответом. Рекомендую использовать такой acl на физическом порту для фильтрации PADO в 3001 vlan.
mac access-list extended test
offset-list pado l2 19 00 07
deny any any vlan 3001 8863 0000 offset-list pado ace-priority 20 log-input
, где
19 - номер байта с кодом PADO (счёт начинаетс с 0)
00 - wildcard маска рассматриваемого байта
07 - значение байта.

[Savamoti]

Здравствуйте.
Благодарю за разъяснения, всё работает.

По поводу

В MAC acl убрал правило deny any any, потому что оно работает по дефолту.

Implicit deny для такой конструкции не работает, проходит весь трафик:

Код: Выделить всё

mac access-list extended only-pppoe
 permit any any 8863 0000 ace-priority 20
 permit any any 8864 0000 ace-priority 40


Но если явно указать в конце правила:

Код: Выделить всё

 deny any any ace-priority 60


То отрабатывает как надо.

И ещё.
Это правило блокирует весь трафик:

Код: Выделить всё

mac access-list extended test
offset-list pado l2 19 00 07
deny any any vlan 3001 8863 0000 offset-list pado ace-priority 20 log-input


Но если указать в конце правило:

Код: Выделить всё

 permit any any ace-priority 40


То отрабатывает как надо.

Если запретить определённый трафик, по-умолчанию весь остальной трафик, который не отвечает условиям должен быть разрешён?
Это баг или так и должно быть?

[Евгений Т]

Implicit deny для такой конструкции не работает, проходит весь трафик:

Работает. Что-то было не так настроено значит. Прошу приложить конфиг для этого случая и провести повторную проверку на нём.

И ещё.
Это правило блокирует весь трафик:
mac access-list extended test
offset-list pado l2 19 00 07
deny any any vlan 3001 8863 0000 offset-list pado ace-priority 20 log-input

Но если указать в конце правило:
permit any any ace-priority 40
То отрабатывает как надо.

Не это правило блокирует. Как и писал ранее. После выполнения правил acl выполняется безусловное deny any any

Если запретить определённый трафик, по-умолчанию весь остальной трафик, который не отвечает условиям должен быть разрешён?
Это баг или так и должно быть?

Как писал выше, всё что не разрешено - запрещено. Т.е после acl выполняется deny any any.

[Savamoti]

Ещё раз проверил, пролезает куча ARP, всякого мультикаста и пр.
Дописываю в конце правила deny any any ace-priority 60, всё блокируется.

Код: Выделить всё

console(config)#do sh ru
vlan database
 vlan 51,999,3001
exit
!
mac access-list extended only-pppoe
 permit any any 8863 0000 ace-priority 20
 permit any any 8864 0000 ace-priority 40
exit
!
!
logging cli-commands
logging file informational
!
clock timezone " " +7
!
interface gigabitethernet1/0/11
 description uplink
 switchport mode general
 switchport general allowed vlan add 51,999,3001 tagged
exit
!
interface gigabitethernet1/0/12
 description downlink                                 
 switchport mode general
 switchport general allowed vlan add 51,999,3001 tagged
exit
!
interface vlan 51
 name manage-access
exit
!
interface vlan 999
 name manage
 ip address 10.90.89.1 255.255.255.0
exit
!
interface vlan 3001
 name pppoe
 service-acl input only-pppoe
exit
!
!
end


Здесь почти всё заблокировалось, только с gi1/0/11 PADI приходит.
С ПК А1 ничего не доступно, ARP reply не могу получить.

Код: Выделить всё

console#sh ru
vlan database
 vlan 51,999,3001
exit
!
mac access-list extended test
 offset-list pado l2 19 00 07
 deny any any vlan 3001 8863 0000 offset-list pado ace-priority 20 log-input
exit
!
!
logging cli-commands
logging file informational
!
clock timezone " " +7
!
interface gigabitethernet1/0/11
 description uplink
 service-acl input test
 switchport mode general
 switchport general allowed vlan add 51,999,3001 tagged
exit
!
interface gigabitethernet1/0/12                       
 description downlink
 switchport mode general
 switchport general allowed vlan add 51,999,3001 tagged
exit
!
interface vlan 51
 name manage-access
exit
!
interface vlan 999
 name manage
 ip address 10.90.89.1 255.255.255.0
exit
!
interface vlan 3001
 name pppoe
exit
!
!
end


[Евгений Т]

Ещё раз проверил, пролезает куча ARP, всякого мультикаста и пр.
Дописываю в конце правила deny any any ace-priority 60, всё блокируется.

Проверил. Подтверждаю. Предположительно существует проблема с дефолтным правилом deny any any при назначении на interface vlan.
Поэтому пришлось вручную дописать deny any any. Исправим в будущих версиях ПО. Прошу в ЛС сообщить название Вашей компании, Ваши контактные данные и критичность проблемы.

Здесь почти всё заблокировалось, только с gi1/0/11 PADI приходит.
С ПК А1 ничего не доступно, ARP reply не могу получить.

Как и писал ранее. После acl выполняется deny any any. Поэтому необходимо в acl дописать permit any any.
Это решит задачу.