Фильтрация траффика Port-to-Port
Добавлено: 08 фев 2021 18:39
Коллеги, доброго дня.
В наличии два Коммутатора MES5324, работающие в стеке.
Версия прошивки:
Version: 4.0.15
Commit: 56887933
Build: 2 (master)
Есть непонимание работы списков доступа.
Железка сконфигурена следующим образом(лишнее обрезал):
ip access-list extended vlan255_input_rules
permit ip any any 172.16.255.0 0.0.0.255 172.16.1.0 0.0.0.255 ace-priority 20
permit ip any any 172.16.255.0 0.0.0.255 172.16.4.0 0.0.0.63 ace-priority 40
permit ip any any 172.16.255.0 0.0.0.255 192.168.7.0 0.0.0.255 ace-priority 60
permit ip any any 172.16.255.0 0.0.0.255 172.16.92.0 0.0.0.255 ace-priority 80
deny ip any any 172.16.255.0 0.0.0.255 172.16.0.0 0.15.255.255 ace-priority 100
deny ip any any 172.16.255.0 0.0.0.255 100.64.0.0 0.63.255.255 ace-priority 101
deny ip any any 172.16.255.0 0.0.0.255 192.168.0.0 0.0.255.255 ace-priority 120
deny ip any any 172.16.255.0 0.0.0.255 10.0.0.0 0.255.255.255 ace-priority 140
permit ip any any any any ace-priority 160
exit
!
interface tengigabitethernet1/0/3
channel-group 2 mode auto
exit
!
interface tengigabitethernet1/0/4
channel-group 3 mode auto
exit
!
interface tengigabitethernet2/0/3
channel-group 2 mode auto
exit
!
interface tengigabitethernet2/0/4
channel-group 3 mode auto
exit
!
!
interface Port-channel2
description ***SW1***
switchport mode trunk
switchport trunk allowed vlan add 2-20,22-4094
exit
!
interface Port-channel3
description ***SW2***
switchport mode trunk
switchport trunk allowed vlan add 2,255,1000
exit
!
interface vlan 255
ip address 172.16.255.1 255.255.255.0
service-acl input vlan255_input_rules
exit
!
end
Подразумевалось, что задачей аксесс-листа vlan255_input_rules будет ограничить доступ в подсеть 172.16.255.0 из других подсетей.
но проблема в том, что при такой конфигурации аксесс-листа, две машины принадлежащие одной и той-же подсети 172.16.255.0/24,но находящиеся в разных порт-ченелах не видят друг друга. Для того, чтобы они увидели друг друга в аксесс-лист приходится дописывать правило
permit ip any any 172.16.255.0 0.0.0.255 172.16.255.0 0.0.0.255 ace-priority 21
Т.е. получается аксесс лист на L3 интерфейсе влияет на прохождение траффика L2.
Корректно ли такое поведение, если да, то какова логика работы списка доступа и как правильно его сформировать?
В наличии два Коммутатора MES5324, работающие в стеке.
Версия прошивки:
Version: 4.0.15
Commit: 56887933
Build: 2 (master)
Есть непонимание работы списков доступа.
Железка сконфигурена следующим образом(лишнее обрезал):
ip access-list extended vlan255_input_rules
permit ip any any 172.16.255.0 0.0.0.255 172.16.1.0 0.0.0.255 ace-priority 20
permit ip any any 172.16.255.0 0.0.0.255 172.16.4.0 0.0.0.63 ace-priority 40
permit ip any any 172.16.255.0 0.0.0.255 192.168.7.0 0.0.0.255 ace-priority 60
permit ip any any 172.16.255.0 0.0.0.255 172.16.92.0 0.0.0.255 ace-priority 80
deny ip any any 172.16.255.0 0.0.0.255 172.16.0.0 0.15.255.255 ace-priority 100
deny ip any any 172.16.255.0 0.0.0.255 100.64.0.0 0.63.255.255 ace-priority 101
deny ip any any 172.16.255.0 0.0.0.255 192.168.0.0 0.0.255.255 ace-priority 120
deny ip any any 172.16.255.0 0.0.0.255 10.0.0.0 0.255.255.255 ace-priority 140
permit ip any any any any ace-priority 160
exit
!
interface tengigabitethernet1/0/3
channel-group 2 mode auto
exit
!
interface tengigabitethernet1/0/4
channel-group 3 mode auto
exit
!
interface tengigabitethernet2/0/3
channel-group 2 mode auto
exit
!
interface tengigabitethernet2/0/4
channel-group 3 mode auto
exit
!
!
interface Port-channel2
description ***SW1***
switchport mode trunk
switchport trunk allowed vlan add 2-20,22-4094
exit
!
interface Port-channel3
description ***SW2***
switchport mode trunk
switchport trunk allowed vlan add 2,255,1000
exit
!
interface vlan 255
ip address 172.16.255.1 255.255.255.0
service-acl input vlan255_input_rules
exit
!
end
Подразумевалось, что задачей аксесс-листа vlan255_input_rules будет ограничить доступ в подсеть 172.16.255.0 из других подсетей.
но проблема в том, что при такой конфигурации аксесс-листа, две машины принадлежащие одной и той-же подсети 172.16.255.0/24,но находящиеся в разных порт-ченелах не видят друг друга. Для того, чтобы они увидели друг друга в аксесс-лист приходится дописывать правило
permit ip any any 172.16.255.0 0.0.0.255 172.16.255.0 0.0.0.255 ace-priority 21
Т.е. получается аксесс лист на L3 интерфейсе влияет на прохождение траффика L2.
Корректно ли такое поведение, если да, то какова логика работы списка доступа и как правильно его сформировать?