ACL на MES2324P

[Ausha]

На коммутаторе MES2324P создано несколько вланов, для каждого влана свой DHCP пул.
Появилась задача изолировать VLAN друг от друга.
Как я понял единствинный вариант это ACL на вход на интерфейсы.

при настройке ACL впал в ступор после того как минут 40 не могу написать синтаксис (хотя нет ничего сложного в ACL), в итоге применилась команда следующего содержания

ip access-list extended 10
deny ip any any 192.168.111.0 0.0.0.255 192.168.155.0 0.0.0.255 ace-priority 20
deny ip any any 192.168.111.0 0.0.0.255 192.168.11.0 0.0.0.255 ace-priority 30
permit ip any any any any ace-priority 40
exit

Как понимать написанное в данных строках не могу разобраться.
Обычно расширенный ACL имеет формат- deny ip any any или deny ip any xxxx yyyy -где xxxx ip adress, yyyy-wildcart

а в моем случае вообще не понимаю что он запрещает, но после применения правила на interface vlan трафик в сеть 192.168.111.0/24 был заблокирован из других vlan. Внутри одного vlan трафик ходит.

[Евгений Т]

Добрый день

Синтаксис:
permit/deny <protocol (если ip указать, то любой протокол> <SRC MAC + WC mask> <DST MAC + WC mask> <SRC IP + WC mask> <DST IP + WC mask>

Правило "deny ip any any 192.168.111.0 0.0.0.255 192.168.155.0 0.0.0.255 ace-priority 20" говорит:
запретить прохождение любого IP пакета с любым SRC MAC, с любым DST MAC, с SRC IP из подсети 192.168.111.0/24 в подсеть 192.168.155.0/24. Только при совпадении всех указанных параметров пакет будет отброшен.

[Ausha]

Спасибо.

Такая логика работы ACL для всего оборудования ELTEX поддерживающего L3 или только MES, а у ESR по другому?

Привык к тому что в ACL фраза "any any" обозначает любой SRC IP любой DST IP, а в данном случае речь про MAC.


И провило из примера правильно привязывать к L3 интерфейсу подсети 192.168.155.0/24? Или к интерфейсу подсети 192.168.111.0/24?

так же возник вопрос:

Как у мака может быть wildcard mask?
синтаксис <SRC MAC + WC mask> <DST MAC + WC mask>
WC mask может быть только у IP сети. Или я чего то не знаю или не понимаю? Или при любом раскладе в ACL писать any any и дальше параметры IP?

[Евгений Т]

Такая логика работы ACL для всего оборудования ELTEX поддерживающего L3 или только MES, а у ESR по другому?

У MES у большинства так. В зависимости от линейки может отличаться. Но правильный синтаксис вы можете посмотреть либо в документации, либо по подсказке shift+?. Про ESR не скажу. Лучше отдельную тему на них заведите.

И провило из примера правильно привязывать к L3 интерфейсу подсети 192.168.155.0/24? Или к интерфейсу подсети 192.168.111.0/24?

Можно привязать к любому interface vlan или к физическому интерфейсу. Главное, чтобы проходящие через интерфейс пакеты попадали под правила.

Как у мака может быть wildcard mask?
синтаксис <SRC MAC + WC mask> <DST MAC + WC mask>
WC mask может быть только у IP сети. Или я чего то не знаю или не понимаю? Или при любом раскладе в ACL писать any any и дальше параметры IP?

В этом плане MAC от IP ничем не отличается. Также можно указывать какие-то диапазоны MAC-адресов. Актуально, когда фильтрация выполняется по OUI (первым трём байтам мака) вендора.

[asy]

Добрый день

Синтаксис:
permit/deny <protocol (если ip указать, то любой протокол> <SRC MAC + WC mask> <DST MAC + WC mask> <SRC IP + WC mask> <DST IP + WC mask>

Правило "deny ip any any 192.168.111.0 0.0.0.255 192.168.155.0 0.0.0.255 ace-priority 20" говорит:
запретить прохождение любого IP пакета с любым SRC MAC, с любым DST MAC, с SRC IP из подсети 192.168.111.0/24 в подсеть 192.168.155.0/24. Только при совпадении всех указанных параметров пакет будет отброшен.

Этот бы пример в документацию, а то там не так очевидно.

[asy]

И ещё непонятный момент. На странице 297 MES_Series_user_manual_4.0.16.2.pdf написано, что у ip acl по умолчанию создаётся последнее правило deny any any any. А если хочется permit, то как?

Код: Выделить всё

console(config-ip-al)#permit any any any
% Wrong number of parameters or invalid range, size or characters entered


Хочу вот такое правило попробовать сделать:

Код: Выделить всё

!
ip access-list extended swprotect
 permit icmp any any any any ace-priority 20
 permit ip any any 172.16.0.0 0.15.255.255 any ace-priority 40
 deny ip any any any 172.16.26.46 0.0.0.0 ace-priority 60
 permit any any any ace-priority 80
exit
!


[Евгений Т]

Добрый день.

Правило для разрешения всего трафика
permit ip any any any any

что у ip acl по умолчанию создаётся последнее правило deny any any any. А если хочется permit, то как?

В документации не совсем корректно написано. Правило является не последним в ACL, а выполняется уже после ACL для всего трафика, не попавшего под действие правил. И настраивается действие так:
console(config-if)#service-acl input 1 default-action
deny-any Deny forwarding of all unmatched traffic
permit-any Permit forwarding of all unmatched traffic
По дефолту deny-any.
В документации поправим описание в ближайшей версии ПО.

[Taboorat]

Здравствуйте!
Пытаюсь назначить интерфейсам в качестве input ACL стандартный список доступа. (командой: Eltex(config-if)#service-acl input 1 (или MAIN))
В ответ получаю, данный ACL не создан, хотя и access-list 1, и access-list MAIN в конфигурации есть.
В чем может быть причина? Или стандартные списки доступа нельзя привязывать к интерфейсу?

[Евгений Т]

Добрый день.

Стандартные ACL к интерфейсу нельзя привязать. Создайте обычный ACL.

[anikulichev]

Коллеги, добрый день!

Задам, возможно тупой вопрос, как на MES2324P в расширенном ACL записать такое правило:

на циске в списке доступа есть такая строка: permit ip 10.9.2.128 0.0.0.63 any, как её перевести в acl на MES2324P?

[Евгений Т]

Добрый день.

Настройка так и будет выглядеть
console(config)#ip access-list extended 1
console(config-ip-al)# permit ip 10.9.2.128 0.0.0.63 any

[anikulichev]

ввёл
ip access-list extended TEST
permit ip 10.9.2.128 0.0.0.63 any
end

получилось sh run
ip access-list extended TEST
permit ip any any 10.9.2.128 0.0.0.63 any ace-priority 20
exit

а что означают any any после ip?

[Евгений Т]

src mac и dst mac

[anikulichev]

Хм... интересное решение и вроде как даже логично

Итого такой ACL на Cisco
ip access-list extended GUEST_IN_acl
remark PERMIT DHCP
permit udp host 0.0.0.0 eq bootpc host 255.255.255.255 eq bootps
permit udp 10.0.0.0 0.255.255.255 eq bootpc host 255.255.255.255 eq bootps
remark DENY rules
deny ip any 0.0.0.0 0.255.255.255
deny ip any host 255.255.255.255
deny ip any 127.0.0.0 0.255.255.255
deny ip any 224.0.0.0 15.255.255.255
deny ip any 240.0.0.0 7.255.255.255
deny ip any 169.254.0.0 0.0.255.255
deny ip any 192.0.2.0 0.0.0.255
deny ip any 10.0.0.0 0.255.255.255
deny ip any 172.16.0.0 0.15.255.255
deny ip any 192.168.0.0 0.0.255.255
remark WLAN Guest rules
permit ip 10.6.2.128 0.0.0.63 any
deny ip any any

на Элтекс будет выглядеть так:

ip access-list extended GUEST_IN_acl
permit udp 0.0.0.0 0.0.0.0 bootpc 255.255.255.255 0.0.0.0 bootps ace-priority 20
permit udp 10.0.0.0 0.255.255.255 bootpc 255.255.255.255 0.0.0.0 bootps ace-priority 40

deny ip any any any 0.0.0.0 0.255.255.255 ace-priority 60
deny ip any any any 255.255.255.255 0.0.0.0 ace-priority 80
deny ip any any any 127.0.0.0 0.255.255.255 ace-priority 100
deny ip any any any 224.0.0.0 15.255.255.255 ace-priority 120
deny ip any any any 240.0.0.0 7.255.255.255 ace-priority 140
deny ip any any any 169.254.0.0 0.0.255.255 ace-priority 160
deny ip any any any 192.0.2.0 0.0.0.255 ace-priority 180
deny ip any any any 10.0.0.0 0.255.255.255 ace-priority 200
deny ip any any any 172.16.0.0 0.15.255.255 ace-priority 220
deny ip any any any 192.168.0.0 0.0.255.255 ace-priority 240

permit ip any any 10.6.2.128 0.0.0.63 any ace-priority 260
exit
?

[Евгений Т]

Добрый день.

Проверил. Должно работать одинаково.