О деактивации форума Eltex

Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.

Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.

Ограничени доступа к сервисным сетям

MES, ESR
averin
Сообщения: 47
Зарегистрирован: 12 сен 2016 15:44
Reputation: 0

Ограничени доступа к сервисным сетям

Сообщение averin » 02 апр 2019 21:54

Здравствуйте! Как можно при помощи коммутатора ограничить доступ с клиенских вланов к сервисным сетям при помощи ACL?

Garri
Сообщения: 416
Зарегистрирован: 17 апр 2014 13:30
Reputation: 9

Re: Ограничени доступа к сервисным сетям

Сообщение Garri » 03 апр 2019 01:15

Например: vlan1=10.0.1.0 сервисный, vlan2=10.1.2.0 клиенты

ip access-list extended nousers
deny tcp 10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255
exit

а дальше повесить nousers на vlan1:

interface vlan 1
ip addess ...
service-acl input nousers
exit

Оно?

averin
Сообщения: 47
Зарегистрирован: 12 сен 2016 15:44
Reputation: 0

Re: Ограничени доступа к сервисным сетям

Сообщение averin » 04 апр 2019 21:43

Vlan 1 системный 192.168.0.0/24
Vlan 2 клиенски 192.168.2.0/24
Задача надо что бы клиенты из Vlan 2 с IP 192.168.2.ххх не могла видит сеть Vlan 1 192.168.0.x
комутатор MES-2308
Прошивка 4.0.10

vlan database
vlan 1,2
exit
!
ip access-list extended nousers
deny tcp 192.168.2.0 0.0.0.255 any 192.168.0.0 0.0.0.255 any ace-priority 20
exit
!
!
interface gigabitethernet1/0/1
switchport access vlan 2
exit
!
interface gigabitethernet1/0/10
switchport mode trunk
switchport trunk allowed vlan add 1,2
exit
!
interface vlan 1
ip address 192.168.0.12 255.255.255.0
service-acl input nousers
exit
!
!
ip default-gateway 192.168.0.1
!
end
При такой конфигурации теряется управление свичём и клиенты продолжают видеть сервисную подсеть

Андрей Есман
Сообщения: 175
Зарегистрирован: 22 фев 2019 12:02
Reputation: 1
Откуда: Элтекс

Re: Ограничени доступа к сервисным сетям

Сообщение Андрей Есман » 05 апр 2019 10:03

Здравствуйте.
В конце каждого ACL по дефолту есть запрещающее правило deny any any any any, а Вы не создали разрешающих правил, и ограничивался весь трафик.
Настройте ACL следующим образом:
ip access-list extended nousers
deny ip any any 192.168.2.0 0.0.0.255 192.168.0.0 0.0.0.255 ace-priority 20
permit ip any any any any ace-priority 40
exit
Андрей Есман / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/

averin
Сообщения: 47
Зарегистрирован: 12 сен 2016 15:44
Reputation: 0

Re: Ограничени доступа к сервисным сетям

Сообщение averin » 05 апр 2019 14:13

Проверил! Свитч доступен, клиент потерял доступ до него!! Но к остальному оборудованнию и к шлюзу сервисной сети доступ остался

averin
Сообщения: 47
Зарегистрирован: 12 сен 2016 15:44
Reputation: 0

Re: Ограничени доступа к сервисным сетям

Сообщение averin » 26 апр 2019 22:35

Настроил всё ограничено до сервисных сетей! Также потерял доступ из сервисной в клиентскую! как открыть хотя бы пинги до клиента?

Андрей Есман
Сообщения: 175
Зарегистрирован: 22 фев 2019 12:02
Reputation: 1
Откуда: Элтекс

Re: Ограничени доступа к сервисным сетям

Сообщение Андрей Есман » 06 май 2019 09:49

Здравствуйте. Приложите ACL из sh run, который получился в итоге?
Последний раз редактировалось Андрей Есман 13 июн 2019 10:40, всего редактировалось 1 раз.
Андрей Есман / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/

averin
Сообщения: 47
Зарегистрирован: 12 сен 2016 15:44
Reputation: 0

Re: Ограничени доступа к сервисным сетям

Сообщение averin » 17 май 2019 16:46

10.172.x.x клиенты
10.70.x.x и 172.16.x.x сервисные подсети

ip access-list extended nousers
permit ip any any 10.172.0.1 0.0.255.0 any ace-priority 10
deny ip any any 10.172.0.0 0.0.255.255 10.70.0.0 0.0.255.255 ace-priority 20
deny ip any any 10.172.0.0 0.0.255.255 172.16.0.0 0.0.255.255 ace-priority 40
permit ip any any any any ace-priority 60
exit

Андрей Есман
Сообщения: 175
Зарегистрирован: 22 фев 2019 12:02
Reputation: 1
Откуда: Элтекс

Re: Ограничени доступа к сервисным сетям

Сообщение Андрей Есман » 13 июн 2019 10:51

Здравствуйте.

Можно прописать разрешающее правило для icmp пакетов.

ip access-list extended nousers
permit ip any any 10.172.0.1 0.0.255.0 any ace-priority 20
permit icmp 10.172.0.0 0.0.255.255 10.70.0.0 0.0.255.255 any any ace-priority 40
permit icmp 10.172.0.0 0.0.255.255 172.16.0.0 0.0.255.255 any any ace-priority 60
deny ip any any 10.172.0.0 0.0.255.255 10.70.0.0 0.0.255.255 ace-priority 80
deny ip any any 10.172.0.0 0.0.255.255 172.16.0.0 0.0.255.255 ace-priority 100
permit ip any any any any ace-priority 120
exit
Андрей Есман / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/


Вернуться в «Коммутаторы и маршрутизаторы Ethernet»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 11 гостей