Перейти к содержимому
Калькуляторы

Tygra

Активный участник
  • Публикации

    362
  • Зарегистрирован

  • Посещение

Все публикации пользователя Tygra


  1. Угу ... как в мане не проходит , подобрать пока не удалось .... пробовал ...
  2. P\s В понедельник попробую переписать все ACL с нуля , они там по умолчанию стояли ..
  3. По всей видимости железка не умеет это делать : CentrSw(config-ext-macl)#permit any any ? protocol-family An Ethernet protocol family <cr> CentrSw(config-ext-macl)#permit any any protocol-family ? appletalk arp-non-ipv4 decnet ipx ipv6 rarp-ipv4 rarp-non-ipv4 vines xns CentrSw(config-ext-macl)#permit any any protocol-family   Но однако что делает в текущих ACL запись : Extended MAC access list system-cpp-pppoe-disc permit any any protocol-family pppoe-disc ? family протокол которого нет в списке ?
  4. Вопрос все еще открыт ... не могу понять что не так делаю .... пытался явно найти в мануалах , что именно моя железяка не поддерживает подобную фильтрацию... и не нашел , так бы нашел и угомонился бы .... Очень может быть что я что то элементарное упускаю по не знанию ... Подобный пример с 0х8863 есть в мане команд для данного коммутатора с оффсайта , оно не "хотит" робить , уже устал гугль мучить , скоро начну переводить все доки на свитч подряд , там инфы много , что то может найду .. Какой хороший человек подсказал бы ) ....
  5. Что то я совсем уже запутался , в access-list есть запись (она была там) Extended MAC access list system-cpp-pppoe-disc permit any any protocol-family pppoe-disc Однако если попытаться создать другой extended лист с protocol-family pppoe-disc , оно сразу ругается на pppoe-disc .. Может ли наличие сего правила не давать создавать правило вида 0х8863 ? В мане указано что или то или то , но не понятно в масштабе всего коммутатора или одного списка ...
  6. Обновил ПО : CentrSw#show version Cisco IOS Software, Catalyst 4500 L3 Switch Software (cat4500-ENTSERVICESK9-M), Version 15.0(2)SG11, RELEASE SOFTWARE (fc2) Ничего не изменилось .... Все по прежнему ... Странно это ..
  7. Большое спасибо , попробую обновить киску ..
  8. Спасибо , надо почитать , есть у кого доступ к циско к прошивкам ? https://software.cisco.com/download/release.html?mdfid=279636820&reltype=latest&relind=AVAILABLE&dwnld=true&softwareid=280805680&catid=268438038&rellifecycle=MD&atcFlag=N&release=15.0.2-SG11&dwldImageGuid=F9A91DA640575A52CC23A7CDCA4A7B36B41D8829 на 4948 10gb последнюю интерпрайз ...
  9. Это аппаратное ограничение семейства или нужно обновлять ПО ? Если обновлять то на что ?
  10. Я понимаю , но список "фабричных" протоколов ограничен и пппое в нем нет ... CentrSw(config-ext-macl)#permit any any protocol-family 0x8863 ^ % Invalid input detected at '^' marker.   CentrSw(config-ext-macl)#permit any any protocol-family ? appletalk arp-non-ipv4 decnet ipx ipv6 rarp-ipv4 rarp-non-ipv4 vines xns   Эмм или кошка семейства 4500х в принципе не может ACLить трафик отсутствующий в списке protocol-family ?
  11. CentrSw(config-ext-macl)#permit any any ? protocol-family An Ethernet protocol family <cr> CentrSw(config-ext-macl)#permit any any 0x8863 ^ % Invalid input detected at '^' marker. Данная версия иос не понимает вид 0x8863 ?   CentrSw#show version Cisco IOS Software, Catalyst 4500 L3 Switch Software (cat4500-LANBASEK9-M), Version 12.2(54)SG1, RELEASE SOFTWARE (fc1) версия иос
  12. День добрый . Добрался до кошки поковыряться . Дано Cisco 4948 , то бишь 4500 серия . Версия IOS 12.2(54)sg1Пытаюсь разобраться с ACLями . Надо фильтр пппое в заданном влане :Подключился к кошке через ип адрес , при помощи putty telnet.configure terminalmac access-list extended mac1permit any any 0x8863 0x0на последнюю команду оно мне в ответ : % Invalid input detected at '^' marker.И тыкает маркером на 0 в типе трафика 0x8863Что не так делаю ? P\S Совсем ничего в кошках не понимаю, взял вот посмотреть ... Пишут что должно робить , но что о не "идет" ...
  13. myth Попрошу вас не флудить в чужой теме и не заниматься троллингом , займитесь чем нибудь более полезным для сообщества .
  14. Та да, так и делается , я про случай уже с избранными правилами говорю . Но удаление по номеру правила пока не думал как просчитать ... Эмм с конца , в смысле выбрать правила под удаление, сделать список по номеру правила, отсортировать от обратного и удалять с наибольшего номера ? Тоже интересно , надо попробовать , спасибо ..
  15. Откровенно говоря мне не понятно ваше глумление , я прекрасно понимаю что такое полная фильтрация 5гб потока через 6000 правил, это смерть почти для любой железки , я уже пытался обьяснить как оно будет работать , но не был услышан . Собственно повторять не буду , кто не хочет видеть тот не увидит как не распинайся ... Планируется до 5гб потока на две железки CCR1016 . ... Но собственно зачем я об этом , вы ведь привыкли шаблонами мыслить , нет смысла вам что то рассказывать .... Скорость обработки поднял , стало приемлимо. Но удаляет правила все равно как то не быстро, добавляет почти мгновенно ..... Скрипт почти закончил , еще не много причесать и можно пробовать в нагрузке...
  16. nkusnetsov Да уже не важно , к сожалению микрот очень "тяжелый" на массовые изменения правил ...
  17. Поймите меня правильно , я это делаю не от того что я такой упертый сильно или тупой , это действительно необходимо, таковы обстоятельства. Вы привыкли видеть в микроте маршрутизатор , для него много правил это не нормально и это логично , но здесь он в роли умного свитча L2 .
  18. Да нормально ... использование не стандартно и посему должно быть все ОК . Скрипт загружается по фтп , но изменения происходят достаточно часто , от того долгое удаление правил не много напрягает.... М\б возможно как то по другому удалять ? Ну кроме удаления по номеру , там попробуй просчитай куда на сколько сдвинется ... а принт делать каждый раз еще дольше ...
  19. Доброго времени суток. Пишу скрипт управление фаерволом. Правил много , несколько тысяч. Сам скрипт генерируется на внешнем сервере , так оказалось проще , потом загружается и импортируется. Собственно при выполнении скрипта правила добавляются и удаляются крайне медленно . Удаляю по признаку (мак адрес) , добавляю обычно add и т.д. ... Удаление в среднем 1-2 правила в 1 секунду , добавление быстрее ... Удаляю вот такой конструкцией : /interface bridge filter remove [find where src-mac-address~"00:00:00:00:00:03"] Да и в принципе , даже в винбоксе , если попытаться выделить сразу много правил и удалить , то дело это идет медленно и частенько приводит вообще к дисконнекту винбокса ... Это нормально или только у меня так? Можно ли это как то исправить ? P\S Железяка CCR1016 ....
  20. Провел не большой тест под нагрузкой , поток около 800мбит, добавлял одинаковых правил для теста нагрузки на процессор . В общем микроту "поплохело" после 1000 "действующих" правил т.е. абсолютно весь трафик проходил через все 1000 правил , я ожидал гораздо худшего. Можно смело городить "огород" ) ..
  21. Как я уже отметил выше , система не стандартная от того очевидные вещи не получаются очевидно , что вам кажется бессмысленным здесь работает и в структуре всей системы вполне логично , ну если не учитывать что оно как то все через одно место .. И не плохо функционирует уже около 10 лет ... К сожалению в наших реалиях только так , собственно и этому рады ) ...
  22. Прямо жесткого контроля всего и вся не требуется , как я уже не однократно говорил, авторизацией занимается вышестоящая организация , она и осуществляет основной контроль . На данный момент с меня требуется только чистка и доступ к авторизации по маку , больше ничего .. Да понимаю что система мягко выражаясь не стандартная и реализовано как то через "опу" , но что дали то и "работаем" , изменить систему нет никакой возможности .... P\S По всей видимости все же надо городить огород из километра правил ... Ну попробую , не получается у тех кто ничего не делает , посмотрим что выйдет , я думаю будет все нормально ...
  23. Читайте выше , оборудование транзитное, авторизация осуществляется на вышестоящих серверах к которым нет доступа. Что либо изменить в данной системе , ровно как способ авторизации не возможно, грубить при этом совершенно не обязательно . Требуется лишь контроль доступа к вышестоящим серверам по мак адресу , зачем это - надо , что либо изменить не возможно . Для авторизуемых не должно ничего измениться , они как логинились на вышестоящем сервере , так и логиниться , трафик Л2 , л3 только внутри туннелей , который мы не трогаем ... На "тазике" крутится около 6000 таких правил и ничего у него не "склеивается" . Почему - я выше обьяснил , не вижу особых отличий от которых загнется микрот . Вот концепция фаервола, после юникса , мягко выражаясь не адекватная, но это скорее с непривычки, не страшно - разберемся .
  24. Я все до конца еще не изучил , только начал разбираться с микротом, на юниксе фаервол прост и логичен . Здесь я так понял что у моста свой загадочный фаервол , как оно будет под нагрузкой работать х.з. , на столе работает вроде адекватно . Сейчас я думаю как скрипт управления и синхронизации с базой упростить.
  25. Я наверное не верно понял логику работы фаервола микрота, поправьте если я не прав , основной трафик имеет определенный признак , по данному признаку в первых двух правилах оно будет отрабатывать сразу на пропуск , не пропуская на проверку дальше т.к. оно должно пройти сразу и нет смысла его гонять по остальным тысячам правил . С чего каждый фрейм л2 будет проверяться всеми правилами фаервола ? Я же говорю что основной трафик "пройдет" через первые 2 правила . Проверка по макам пойдет по другим признакам и количество данный фреймов в общей полосе минимально .. Да . Через нас проходят только туннели , планирую пропуск самих тунелей, но контролировать их образование по мак адресу .