Страница 1 из 1
Функционал ACL.
Добавлено: 26 апр 2017 18:58
Sergye
Добрый день !
Интересует возможность фильтровать udp 67 и 68 порт во vlan .Что то , наподобии cisco vacl .
Если есть такая возможность то будьте добры пример .
Спасибо .
Re: Функционал VACL.
Добавлено: 26 апр 2017 21:01
k0ste
Возможность есть, можете назначить acl на vlan интерфейсе точно также как и на физическом (на последней версии ПО).
Что конкретно вы хотите фильтровать в dhcp? Выдавать адреса самим, защищаться от других? Для этого существует функционал dhcp snooping.
Re: Функционал VACL.
Добавлено: 27 апр 2017 09:34
Евгений Т
Добрый день.
Вот пример:
console(config)#ip access-list extended 123
console(config-ip-al)#permit udp <SRC IP + Wildcard mask> bootp
bootps bootps (67)
bootpc bootpc (68)
console(config-ip-al)#permit udp <SRC IP + Wildcard mask>bootps <DST IP + Wildcard mask>bootp
bootps bootps (67)
bootpc bootpc (68)
Re: Функционал VACL.
Добавлено: 27 апр 2017 15:27
Sergye
Я хочу на транзитном комутаторе этлектс фильтровать в заданом влане dhcp оферы и реквесты .
вот что то наподобие реализовано у ciso вот таким образом
mac access-list extended matching
mac access-list extended permit-pppoe
deny any any 0x8863 0x0
interface FastEthernet0/2
switchport trunk allowed vlan 3
switchport mode trunk
mac access-group permit-pppoe in
Re: Функционал VACL.
Добавлено: 02 май 2017 10:47
k0ste
Sergye писал(а):Я хочу на транзитном комутаторе этлектс фильтровать в заданом влане dhcp оферы и реквесты .
вот что то наподобие реализовано у ciso вот таким образом
mac access-list extended matching
mac access-list extended permit-pppoe
deny any any 0x8863 0x0
interface FastEthernet0/2
switchport trunk allowed vlan 3
switchport mode trunk
mac access-group permit-pppoe in
Как вы их хотите зафильтровать?
Приложенный пример никак не относится к vlan-acl.
Чем раньше Вы обозначите точное техническое задание, тем раньше получите помощь от коммунити или саппорта.
Re: Функционал ACL.
Добавлено: 02 май 2017 11:03
Евгений Т
Я хочу на транзитном комутаторе этлектс фильтровать в заданом влане dhcp оферы и реквесты .
вот что то наподобие реализовано у ciso вот таким образом
Комментарием выше привел пример. Смотрели его?
Re: Функционал VACL.
Добавлено: 02 май 2017 20:47
Sergye
k0ste писал(а):Sergye писал(а):Я хочу на транзитном комутаторе этлектс фильтровать в заданом влане dhcp оферы и реквесты .
вот что то наподобие реализовано у ciso вот таким образом
mac access-list extended matching
mac access-list extended permit-pppoe
deny any any 0x8863 0x0
interface FastEthernet0/2
switchport trunk allowed vlan 3
switchport mode trunk
mac access-group permit-pppoe in
Как вы их хотите зафильтровать?
Приложенный пример никак не относится к vlan-acl.
Чем раньше Вы обозначите точное техническое задание, тем раньше получите помощь от коммунити или саппорта.
Есть комутатор агрегации , на котором нужно в вланах( где ходят пппоешники ) порезать весь dhcp трафик .Делаеться это потому что на доступе резать проблемматично в виду частой смены настроек на портах комутатора. Правильно я вас понял что делаем вирутуальный интерфейс и вешаем на нем аксес лист ?
Re: Функционал VACL.
Добавлено: 04 май 2017 10:02
k0ste
Sergye писал(а):Есть комутатор агрегации , на котором нужно в вланах( где ходят пппоешники ) порезать весь dhcp трафик .Делаеться это потому что на доступе резать проблемматично в виду частой смены настроек на портах комутатора. Правильно я вас понял что делаем вирутуальный интерфейс и вешаем на нем аксес лист ?
Функционал DHCP Snooping, уберет не желательные dhcp ответы. То есть ответить клиенту сможете только вы с определенного интерфейса.
Код: Выделить всё
vlan database
vlan 10,20 # клиентские vlan
!
interface vlan 10
name client1
exit
!
interface vlan 20
name client2
exit
!
ip dhcp snooping # включаем dhcp snooping
ip dhcp snooping vlan 10 # включаем dhcp snooping на клиентских vlan
ip dhcp snooping vlan 20
!
interface gigabitethernet 1/0/26
ip dhcp snooping trust # разрешаем dhcp ответы с этого интерфейса, за этим интерфейсом где-то запущен dhcp сервер
switchport mode trunk
switchport trunk allowed vlan add 10,20
description dhcp_server
exitЕсли же вам нужно рубить не ответы, а например запросы, обратите внимание на пример
Евгения.
Re: Функционал VACL.
Добавлено: 09 май 2017 13:54
Sergye
Dhcp сервиса нет в сети .
Есть такая топология
магистраль-----(gi0/1) eltex2124 (gi0/2)----trunk(vlan2,10,20)------(fa0/1)des 2108
на длинке 2108 крутяться сервисы для pppoe клиентов (vlan 10 ) и l2vpn (vlan20)
задача стоит таким образом что бы применить фильтрация всего dhcp трафика во vlan 10
dhcp снупинг отказать
повесить аксес лист ( со фильтрацией по 67 и 68 порту ) на (gi0/2 ) отказать - приведет к тому что пожалуется клиент во влане 20
Есть ли возможность используя функционал комутатора eltex отфильтровать по езертайпу весь pppoe, разрешить только фремы с 0x8863 и 0x8040 и применить ко влану 10 ?
Re: Функционал ACL.
Добавлено: 11 май 2017 11:36
Евгений Т
повесить аксес лист ( со фильтрацией по 67 и 68 порту ) на (gi0/2 ) отказать - приведет к тому что пожалуется клиент во влане 20
В 3 комментарии я привел пример ACL. Вы пробовали по нему настраивать? Чтобы ACL имел действие только для 10 vlan, повесьте acl не на порт, а на inteface vlan 10.
Есть ли возможность используя функционал комутатора eltex отфильтровать по езертайпу весь pppoe, разрешить только фремы с 0x8863 и 0x8040 и применить ко влану 10 ?
Вот пример
mac access-list extended mac-acl
permit any any 8863 0000
permit any any 8040 0000
exit
И потом навесить вместе с ip acl на int vlan 10
interface vlan 10
service-acl input mac-acl ip-acl
Re: Функционал ACL.
Добавлено: 11 май 2017 20:49
Sergye
Спасибо )