Добрый день !
Интересует возможность фильтровать udp 67 и 68 порт во vlan .Что то , наподобии cisco vacl .
Если есть такая возможность то будьте добры пример .
Спасибо .
О деактивации форума Eltex
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
Функционал ACL.
Функционал ACL.
Последний раз редактировалось Sergye 27 апр 2017 16:09, всего редактировалось 1 раз.
Re: Функционал VACL.
Возможность есть, можете назначить acl на vlan интерфейсе точно также как и на физическом (на последней версии ПО).
Что конкретно вы хотите фильтровать в dhcp? Выдавать адреса самим, защищаться от других? Для этого существует функционал dhcp snooping.
Что конкретно вы хотите фильтровать в dhcp? Выдавать адреса самим, защищаться от других? Для этого существует функционал dhcp snooping.
Re: Функционал VACL.
Добрый день.
Вот пример:
Вот пример:
console(config)#ip access-list extended 123
console(config-ip-al)#permit udp <SRC IP + Wildcard mask> bootp
bootps bootps (67)
bootpc bootpc (68)
console(config-ip-al)#permit udp <SRC IP + Wildcard mask>bootps <DST IP + Wildcard mask>bootp
bootps bootps (67)
bootpc bootpc (68)
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/
Re: Функционал VACL.
Я хочу на транзитном комутаторе этлектс фильтровать в заданом влане dhcp оферы и реквесты .
вот что то наподобие реализовано у ciso вот таким образом
mac access-list extended matching
mac access-list extended permit-pppoe
deny any any 0x8863 0x0
interface FastEthernet0/2
switchport trunk allowed vlan 3
switchport mode trunk
mac access-group permit-pppoe in
вот что то наподобие реализовано у ciso вот таким образом
mac access-list extended matching
mac access-list extended permit-pppoe
deny any any 0x8863 0x0
interface FastEthernet0/2
switchport trunk allowed vlan 3
switchport mode trunk
mac access-group permit-pppoe in
Re: Функционал VACL.
Sergye писал(а):Я хочу на транзитном комутаторе этлектс фильтровать в заданом влане dhcp оферы и реквесты .
вот что то наподобие реализовано у ciso вот таким образом
mac access-list extended matching
mac access-list extended permit-pppoe
deny any any 0x8863 0x0
interface FastEthernet0/2
switchport trunk allowed vlan 3
switchport mode trunk
mac access-group permit-pppoe in
Как вы их хотите зафильтровать?
Приложенный пример никак не относится к vlan-acl.
Чем раньше Вы обозначите точное техническое задание, тем раньше получите помощь от коммунити или саппорта.
Re: Функционал ACL.
Я хочу на транзитном комутаторе этлектс фильтровать в заданом влане dhcp оферы и реквесты .
вот что то наподобие реализовано у ciso вот таким образом
Комментарием выше привел пример. Смотрели его?
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/
Re: Функционал VACL.
k0ste писал(а):Sergye писал(а):Я хочу на транзитном комутаторе этлектс фильтровать в заданом влане dhcp оферы и реквесты .
вот что то наподобие реализовано у ciso вот таким образом
mac access-list extended matching
mac access-list extended permit-pppoe
deny any any 0x8863 0x0
interface FastEthernet0/2
switchport trunk allowed vlan 3
switchport mode trunk
mac access-group permit-pppoe in
Как вы их хотите зафильтровать?
Приложенный пример никак не относится к vlan-acl.
Чем раньше Вы обозначите точное техническое задание, тем раньше получите помощь от коммунити или саппорта.
Есть комутатор агрегации , на котором нужно в вланах( где ходят пппоешники ) порезать весь dhcp трафик .Делаеться это потому что на доступе резать проблемматично в виду частой смены настроек на портах комутатора. Правильно я вас понял что делаем вирутуальный интерфейс и вешаем на нем аксес лист ?
Re: Функционал VACL.
Sergye писал(а):Есть комутатор агрегации , на котором нужно в вланах( где ходят пппоешники ) порезать весь dhcp трафик .Делаеться это потому что на доступе резать проблемматично в виду частой смены настроек на портах комутатора. Правильно я вас понял что делаем вирутуальный интерфейс и вешаем на нем аксес лист ?
Функционал DHCP Snooping, уберет не желательные dhcp ответы. То есть ответить клиенту сможете только вы с определенного интерфейса.
Код: Выделить всё
vlan database
vlan 10,20 # клиентские vlan
!
interface vlan 10
name client1
exit
!
interface vlan 20
name client2
exit
!
ip dhcp snooping # включаем dhcp snooping
ip dhcp snooping vlan 10 # включаем dhcp snooping на клиентских vlan
ip dhcp snooping vlan 20
!
interface gigabitethernet 1/0/26
ip dhcp snooping trust # разрешаем dhcp ответы с этого интерфейса, за этим интерфейсом где-то запущен dhcp сервер
switchport mode trunk
switchport trunk allowed vlan add 10,20
description dhcp_server
exitЕсли же вам нужно рубить не ответы, а например запросы, обратите внимание на пример Евгения.
Re: Функционал VACL.
Dhcp сервиса нет в сети .
Есть такая топология
магистраль-----(gi0/1) eltex2124 (gi0/2)----trunk(vlan2,10,20)------(fa0/1)des 2108
на длинке 2108 крутяться сервисы для pppoe клиентов (vlan 10 ) и l2vpn (vlan20)
задача стоит таким образом что бы применить фильтрация всего dhcp трафика во vlan 10
dhcp снупинг отказать
повесить аксес лист ( со фильтрацией по 67 и 68 порту ) на (gi0/2 ) отказать - приведет к тому что пожалуется клиент во влане 20
Есть ли возможность используя функционал комутатора eltex отфильтровать по езертайпу весь pppoe, разрешить только фремы с 0x8863 и 0x8040 и применить ко влану 10 ?
Есть такая топология
магистраль-----(gi0/1) eltex2124 (gi0/2)----trunk(vlan2,10,20)------(fa0/1)des 2108
на длинке 2108 крутяться сервисы для pppoe клиентов (vlan 10 ) и l2vpn (vlan20)
задача стоит таким образом что бы применить фильтрация всего dhcp трафика во vlan 10
dhcp снупинг отказать
повесить аксес лист ( со фильтрацией по 67 и 68 порту ) на (gi0/2 ) отказать - приведет к тому что пожалуется клиент во влане 20
Есть ли возможность используя функционал комутатора eltex отфильтровать по езертайпу весь pppoe, разрешить только фремы с 0x8863 и 0x8040 и применить ко влану 10 ?
Re: Функционал ACL.
повесить аксес лист ( со фильтрацией по 67 и 68 порту ) на (gi0/2 ) отказать - приведет к тому что пожалуется клиент во влане 20
В 3 комментарии я привел пример ACL. Вы пробовали по нему настраивать? Чтобы ACL имел действие только для 10 vlan, повесьте acl не на порт, а на inteface vlan 10.
Есть ли возможность используя функционал комутатора eltex отфильтровать по езертайпу весь pppoe, разрешить только фремы с 0x8863 и 0x8040 и применить ко влану 10 ?
Вот пример
mac access-list extended mac-acl
permit any any 8863 0000
permit any any 8040 0000
exit
И потом навесить вместе с ip acl на int vlan 10
interface vlan 10
service-acl input mac-acl ip-acl
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/
Re: Функционал ACL.
Спасибо )
Вернуться в «Коммутаторы и маршрутизаторы Ethernet»
Кто сейчас на конференции
Сейчас этот форум просматривают: Google [Bot] и 10 гостей