ESR-20 гостевая сеть.

[altiveus]

Здравствуйте. Есть связка ESR-20 и WEP-2ac. На WEP-2ac настроены две VAP - Work (VLAN 1) и Guest (VLAN 150), подключена точка к физическому порту 4 ESR-20, интернет получает с порта 1 gigabitethernet 1/0/1 (dhcp клиент). На 4 порту настроены интефейсы gigabitethernet 1/0/4 (10.10.10.0/24) для Work и gigabitethernet 1/0/4.150 (10.10.14.0/24) для Guest со своими dhcp серверами. Так же включен порт 2 gigabitethernet 1/0/2 (10.10.11.0/24). Интернет с обеих VAP получаю, всё хорошо. Собственно вопрос - как для gigabitethernet 1/0/4.150 разрешить только интернет трафик, ну или запретить "ходить" в 1/0/2, 1/0/3, 1/0/4? Попробовал применить правило ACL для 1/0/4.150, но не применяет с ошибкой. Подскажите как решить, возможно вообще не по тому пути пошёл.
Что пробовал с примерами адаптированными для себя из учебника -

Код: Выделить всё

esr-20# config
esr-20(config)# ip access-list extended guestblock
esr-20(config-acl)# rule 1
esr-20(config-acl-rule)# action deny
esr-20(config-acl-rule)# match protocol any
esr-20(config-acl-rule)# match source-address 10.10.14.0 255.255.255.0
esr-20(config-acl-rule)# match destination-address 10.10.10.0 255.255.255.0
esr-20(config-acl-rule)# match destination-address 10.10.11.0 255.255.255.0
esr-20(config-acl-rule)# enable
esr-20(config-acl-rule)# exit
esr-20(config-acl)# exit
esr-20(config)# interface gigabitethernet 1/0/4.150
esr-20(config-subif)# service-acl input guestblock
Syntax error: Unknown command

[Garri]

ACL нельзя повесить на сабинтерфейс. Сделайте с помощью зон, зону можно прикрепить к бриджу и далее повесить на интерфейс.

[altiveus]

ACL нельзя повесить на сабинтерфейс. Сделайте с помощью зон, зону можно прикрепить к бриджу и далее повесить на интерфейс.

Это всё замечательно. Но можно ткнуть носом в пример? С этим оборудованием столкнулся впервые и настройка через CLI вызывает некоторый эмоциональный запор. Все ссылки поисковиков по нужным темам ведут на "базу знаний kcs.eltex.nsk.ru", канувшую в лету судя по всему. Единственные доступные материалы со страницы продукта - быстрый старт (удобно, но ограничено) и полный мануал с примерами содержащими устаревший судя по всему синтаксис команд, так как даже вдумчивая копипаста примеров приводит к ошибкам в консоли.
Вот что имею сейчас -

Код: Выделить всё

esr-20# sh run
object-group service ssh
  port-range 22
exit
object-group service dhcp_server
  port-range 67
exit
object-group service dhcp_client
  port-range 68
exit
object-group service ntp
  port-range 123
exit

syslog max-files 3
syslog file-size 512
syslog file tmpsys:syslog/default info

username admin
  password encrypted $6$C2mi00UUM3KhhIm6$Ozzegr4Ak7v/aOR58wLNgzvvHwafcUShvfoMRDJzCaSJFacmxyQRzhdZN6eaPXqzaWZW67LY9povUshLku/wu0
exit


boot host auto-config
security zone trusted
exit
security zone untrusted
exit

interface gigabitethernet 1/0/1
  ip address dhcp
  security-zone untrusted
exit
interface gigabitethernet 1/0/2
  security-zone trusted
  ip address 10.10.11.254/24
exit
interface gigabitethernet 1/0/3
  mode switchport
exit
interface gigabitethernet 1/0/4
  security-zone trusted
  ip address 10.10.10.254/24
exit
interface gigabitethernet 1/0/4.150
  security-zone trusted
  ip address 10.10.14.254/24
exit
security zone-pair trusted untrusted
  rule 1
    action permit
    enable
  exit
exit
security zone-pair trusted trusted
  rule 1
    action permit
    enable
  exit
exit
security zone-pair trusted self
  rule 10
    action permit
    match protocol tcp
    match destination-port ssh
    enable
  exit
  rule 20
    action permit
    match protocol icmp
    enable
  exit
  rule 30
    action permit
    match protocol udp
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
  rule 40
    action permit
    match protocol udp
    match destination-port ntp
    enable
  exit
exit
security zone-pair untrusted self
  rule 1
    action permit
    match protocol udp
    match source-port dhcp_server
    match destination-port dhcp_client
    enable
  exit
exit

security passwords default-expired

nat source
  ruleset factory
    to zone untrusted
    rule 10
      description "replace 'source ip' by outgoing interface ip address"
      action source-nat interface
      enable
    exit
  exit
exit

ip dhcp-server
ip dhcp-server pool lan-pool
  network 192.168.1.0/24
  address-range 192.168.1.2-192.168.1.254
  default-router 192.168.1.1
exit
ip dhcp-server pool wifi
  network 10.10.10.0/24
  domain-name eltex.loc
  default-lease-time 000:06:00
  address-range 10.10.10.50-10.10.10.150
  default-router 10.10.10.254
  dns-server 8.8.8.8
exit
ip dhcp-server pool guestwifi
  network 10.10.14.0/24
  domain-name eltex.loc
  default-lease-time 000:06:00
  address-range 10.10.14.50-10.10.14.150
  default-router 10.10.14.254
  dns-server 8.8.8.8
exit

ip ssh server

ntp enable
ntp broadcast-client enable


Как разрешить трафик между 1/0/4.150 с диапазоном 10.10.14.0/24 и 1/0/1 и не пускать из 1/0/4.150 в 1/0/4, 1/0/3, 1/0/2?

[Garri]

База знаний - https://docs.eltex-co.ru/display/EKB/El ... ledge+Base указана на сайте.
Настройка bridge для VLAN раздел 1.20.3 (там хорошие примеры настроек) - https://eltex-co.ru/upload/iblock/cd2/E ... _1.8.5.pdf смотрели?

[altiveus]

смотрели?

В том числе...
Вот прям из примера результат, никакой отсебятины, о чём я уже говорил, в документации есть ошибки то "-" отсутствуют, то вот такие вещи.

Код: Выделить всё

esr-20# config
esr-20(config)# vlan 50,60
esr-20(config-vlan)# exit
esr-20(config)# security-zone LAN1
Syntax error: Unknown command


[Garri]

А версия прошивки какая?

[Garri]

security-zone LAN1

Да тире лишнее.

[altiveus]

А версия прошивки какая?

Boot version:
1.8.1.4 (date Sep 11 2019 time 09:52:47)
SW version:
1.8.1 build 4[ca384e8f] (date 11/09/2019 time 09:50:56)
HW version:
1v4
Обновить пока не смог так как ещё и утилита EMS сыплет ошибками таймаутов snmp при попытках прочитать конфигурацию. А через консоль с такими делами как то не комильфо обновлять. А вообще не скажете - веб интерфейс хоть в какой-то мере для этой железки будет? В характеристиках у продажников указано что он есть.

[altiveus]

Пробую пример на порту 3

Код: Выделить всё

esr-20(config)# vlan 50,60
esr-20(config-vlan)# exit
esr-20(config)# security zone LAN1
esr-20(config-zone)# exit
esr-20(config)# security zone LAN2
esr-20(config-zone)# exit
esr-20(config)# interface gigabitethernet 1/0/3
esr-20(config-if-gi)# switchport general allowed vlan add 50 tagged
Syntax error: Illegal command line


Что здесь не так?

[Garri]

Посмотрите в файле примерный конфиг для интерфейсов + vlan.
Если нигде не ошибся , то адаптируйте под себя.

Что здесь не так?

То, что такой команды нет для данной версии ESR.
Не копируйте просто так команды.
Перейдите в интерфейс и наберите "switchport ?" и увидите в ней поддерживается.

[altiveus]

То, что такой команды нет для данной версии ESR.
Не копируйте просто так команды.
Перейдите в интерфейс и наберите "switchport ?" и увидите в ней поддерживается.

Спасибо. Встроенной помощью я пользуюсь. Ну телепатией тоже не располагаю , есть официальная документация, которой пытаюсь придерживаться - но если нет других источников информации для конкретного оборудования, то что же я могу сделать. Вот и выжимаю из Вас.

[CSKT]

... Собственно вопрос - как для gigabitethernet 1/0/4.150 разрешить только интернет трафик, ну или запретить "ходить" в 1/0/2, 1/0/3, 1/0/4? ...

1) Создайте ещё зону:

security zone guestwifi
exit

2) Замените интерфейсу зону

interface gigabitethernet 1/0/4.150
security-zone guestwifi
ip address 10.10.14.254/24
exit

3) Создайте правило, по которому трафик будет ходить из зоны guestwifi только в untrusted

security zone-pair guestwifi untrusted
rule 10
action permit
enable
exit
exit


Всё.

Проверьте, будет ли ходить трафик в 1/0/2; 1/0/3; 1/0/4 из 1/0/4.150 ?

[altiveus]

Проверьте, будет ли ходить трафик в 1/0/2; 1/0/3; 1/0/4 из 1/0/4.150 ?

Да, этот вариант работает с неуправляемым POE коммутатором и точкой WEP-2ac. Но на этом субинтефейсе при таких настройках зоны перестаёт работать DHCP сервер . Нужно ещё что-то допилить.

[Garri]

А я подумал, что вопрос решён )

То есть коммутатор за ESR неуправляемый?

перестаёт работать DHCP сервер

И каким образом это проявляется?

[altiveus]

Нет, вопрос ещё не решён, возвращаюсь по мере разгруженности.

То есть коммутатор за ESR неуправляемый?

Да, для теста пока неуправляемый, так как если включить MES, то чудеса "усугубляются".

И каким образом это проявляется?

Странный вопрос, ну да ладно, возможно не так сказал (dhcp сервер настроен, с ним видимо нет связи в этом случае). Устройства не могут получить ip адрес при подключении к этой подсети. Подключение удается только при назначенных вручную на устройствах адресе, шлюзе, DNS. Напомню, что этот субинтерфейс использую для точки доступа. Как только меняю зону на trusted - клиенты получают ip адреса.
Из книжки по esr -

Для разрешения прохождения сообщений протокола DHCP к серверу необходимо создать соответствующие профили портов, включающие порт источника 68 и порт назначения 67, используемые протоколом DHCP, и создать разрешающее правило в политике безопасности для прохождения пакетов протокола UDP

То есть "оно" и не должно было заработать пока в zone pair не будет соответствующего правила, я правильно понимаю?