Tygra
Активный участник-
Публикации
362 -
Зарегистрирован
-
Посещение
Все публикации пользователя Tygra
-
Cisco ACL L2
тему ответил в Tygra пользователя Tygra в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Угу ... как в мане не проходит , подобрать пока не удалось .... пробовал ... -
Cisco ACL L2
тему ответил в Tygra пользователя Tygra в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
P\s В понедельник попробую переписать все ACL с нуля , они там по умолчанию стояли .. -
Cisco ACL L2
тему ответил в Tygra пользователя Tygra в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
По всей видимости железка не умеет это делать : CentrSw(config-ext-macl)#permit any any ? protocol-family An Ethernet protocol family <cr> CentrSw(config-ext-macl)#permit any any protocol-family ? appletalk arp-non-ipv4 decnet ipx ipv6 rarp-ipv4 rarp-non-ipv4 vines xns CentrSw(config-ext-macl)#permit any any protocol-family Но однако что делает в текущих ACL запись : Extended MAC access list system-cpp-pppoe-disc permit any any protocol-family pppoe-disc ? family протокол которого нет в списке ? -
Cisco ACL L2
тему ответил в Tygra пользователя Tygra в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Вопрос все еще открыт ... не могу понять что не так делаю .... пытался явно найти в мануалах , что именно моя железяка не поддерживает подобную фильтрацию... и не нашел , так бы нашел и угомонился бы .... Очень может быть что я что то элементарное упускаю по не знанию ... Подобный пример с 0х8863 есть в мане команд для данного коммутатора с оффсайта , оно не "хотит" робить , уже устал гугль мучить , скоро начну переводить все доки на свитч подряд , там инфы много , что то может найду .. Какой хороший человек подсказал бы ) .... -
Cisco ACL L2
тему ответил в Tygra пользователя Tygra в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Что то я совсем уже запутался , в access-list есть запись (она была там) Extended MAC access list system-cpp-pppoe-disc permit any any protocol-family pppoe-disc Однако если попытаться создать другой extended лист с protocol-family pppoe-disc , оно сразу ругается на pppoe-disc .. Может ли наличие сего правила не давать создавать правило вида 0х8863 ? В мане указано что или то или то , но не понятно в масштабе всего коммутатора или одного списка ... -
Cisco ACL L2
тему ответил в Tygra пользователя Tygra в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Обновил ПО : CentrSw#show version Cisco IOS Software, Catalyst 4500 L3 Switch Software (cat4500-ENTSERVICESK9-M), Version 15.0(2)SG11, RELEASE SOFTWARE (fc2) Ничего не изменилось .... Все по прежнему ... Странно это .. -
Cisco ACL L2
тему ответил в Tygra пользователя Tygra в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Большое спасибо , попробую обновить киску .. -
Cisco ACL L2
тему ответил в Tygra пользователя Tygra в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Спасибо , надо почитать , есть у кого доступ к циско к прошивкам ? https://software.cisco.com/download/release.html?mdfid=279636820&reltype=latest&relind=AVAILABLE&dwnld=true&softwareid=280805680&catid=268438038&rellifecycle=MD&atcFlag=N&release=15.0.2-SG11&dwldImageGuid=F9A91DA640575A52CC23A7CDCA4A7B36B41D8829 на 4948 10gb последнюю интерпрайз ... -
Cisco ACL L2
тему ответил в Tygra пользователя Tygra в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Это аппаратное ограничение семейства или нужно обновлять ПО ? Если обновлять то на что ? -
Cisco ACL L2
тему ответил в Tygra пользователя Tygra в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Я понимаю , но список "фабричных" протоколов ограничен и пппое в нем нет ... CentrSw(config-ext-macl)#permit any any protocol-family 0x8863 ^ % Invalid input detected at '^' marker. CentrSw(config-ext-macl)#permit any any protocol-family ? appletalk arp-non-ipv4 decnet ipx ipv6 rarp-ipv4 rarp-non-ipv4 vines xns Эмм или кошка семейства 4500х в принципе не может ACLить трафик отсутствующий в списке protocol-family ? -
Cisco ACL L2
тему ответил в Tygra пользователя Tygra в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
CentrSw(config-ext-macl)#permit any any ? protocol-family An Ethernet protocol family <cr> CentrSw(config-ext-macl)#permit any any 0x8863 ^ % Invalid input detected at '^' marker. Данная версия иос не понимает вид 0x8863 ? CentrSw#show version Cisco IOS Software, Catalyst 4500 L3 Switch Software (cat4500-LANBASEK9-M), Version 12.2(54)SG1, RELEASE SOFTWARE (fc1) версия иос -
День добрый . Добрался до кошки поковыряться . Дано Cisco 4948 , то бишь 4500 серия . Версия IOS 12.2(54)sg1Пытаюсь разобраться с ACLями . Надо фильтр пппое в заданном влане :Подключился к кошке через ип адрес , при помощи putty telnet.configure terminalmac access-list extended mac1permit any any 0x8863 0x0на последнюю команду оно мне в ответ : % Invalid input detected at '^' marker.И тыкает маркером на 0 в типе трафика 0x8863Что не так делаю ? P\S Совсем ничего в кошках не понимаю, взял вот посмотреть ... Пишут что должно робить , но что о не "идет" ...
-
Правила добавить\удалить
тему ответил в Tygra пользователя Tygra в Mikrotik коммутаторы и маршрутизаторы
myth Попрошу вас не флудить в чужой теме и не заниматься троллингом , займитесь чем нибудь более полезным для сообщества . -
Правила добавить\удалить
тему ответил в Tygra пользователя Tygra в Mikrotik коммутаторы и маршрутизаторы
Та да, так и делается , я про случай уже с избранными правилами говорю . Но удаление по номеру правила пока не думал как просчитать ... Эмм с конца , в смысле выбрать правила под удаление, сделать список по номеру правила, отсортировать от обратного и удалять с наибольшего номера ? Тоже интересно , надо попробовать , спасибо .. -
Правила добавить\удалить
тему ответил в Tygra пользователя Tygra в Mikrotik коммутаторы и маршрутизаторы
Откровенно говоря мне не понятно ваше глумление , я прекрасно понимаю что такое полная фильтрация 5гб потока через 6000 правил, это смерть почти для любой железки , я уже пытался обьяснить как оно будет работать , но не был услышан . Собственно повторять не буду , кто не хочет видеть тот не увидит как не распинайся ... Планируется до 5гб потока на две железки CCR1016 . ... Но собственно зачем я об этом , вы ведь привыкли шаблонами мыслить , нет смысла вам что то рассказывать .... Скорость обработки поднял , стало приемлимо. Но удаляет правила все равно как то не быстро, добавляет почти мгновенно ..... Скрипт почти закончил , еще не много причесать и можно пробовать в нагрузке... -
Firewall правила с определенным номером
тему ответил в Tygra пользователя Tygra в Mikrotik коммутаторы и маршрутизаторы
nkusnetsov Да уже не важно , к сожалению микрот очень "тяжелый" на массовые изменения правил ... -
Правила добавить\удалить
тему ответил в Tygra пользователя Tygra в Mikrotik коммутаторы и маршрутизаторы
Поймите меня правильно , я это делаю не от того что я такой упертый сильно или тупой , это действительно необходимо, таковы обстоятельства. Вы привыкли видеть в микроте маршрутизатор , для него много правил это не нормально и это логично , но здесь он в роли умного свитча L2 . -
Правила добавить\удалить
тему ответил в Tygra пользователя Tygra в Mikrotik коммутаторы и маршрутизаторы
Да нормально ... использование не стандартно и посему должно быть все ОК . Скрипт загружается по фтп , но изменения происходят достаточно часто , от того долгое удаление правил не много напрягает.... М\б возможно как то по другому удалять ? Ну кроме удаления по номеру , там попробуй просчитай куда на сколько сдвинется ... а принт делать каждый раз еще дольше ... -
Правила добавить\удалить
тему добавил Tygra в Mikrotik коммутаторы и маршрутизаторы
Доброго времени суток. Пишу скрипт управление фаерволом. Правил много , несколько тысяч. Сам скрипт генерируется на внешнем сервере , так оказалось проще , потом загружается и импортируется. Собственно при выполнении скрипта правила добавляются и удаляются крайне медленно . Удаляю по признаку (мак адрес) , добавляю обычно add и т.д. ... Удаление в среднем 1-2 правила в 1 секунду , добавление быстрее ... Удаляю вот такой конструкцией : /interface bridge filter remove [find where src-mac-address~"00:00:00:00:00:03"] Да и в принципе , даже в винбоксе , если попытаться выделить сразу много правил и удалить , то дело это идет медленно и частенько приводит вообще к дисконнекту винбокса ... Это нормально или только у меня так? Можно ли это как то исправить ? P\S Железяка CCR1016 .... -
Фаервол со списком мак адресов
тему ответил в Tygra пользователя Tygra в Mikrotik коммутаторы и маршрутизаторы
Провел не большой тест под нагрузкой , поток около 800мбит, добавлял одинаковых правил для теста нагрузки на процессор . В общем микроту "поплохело" после 1000 "действующих" правил т.е. абсолютно весь трафик проходил через все 1000 правил , я ожидал гораздо худшего. Можно смело городить "огород" ) .. -
Фаервол со списком мак адресов
тему ответил в Tygra пользователя Tygra в Mikrotik коммутаторы и маршрутизаторы
Как я уже отметил выше , система не стандартная от того очевидные вещи не получаются очевидно , что вам кажется бессмысленным здесь работает и в структуре всей системы вполне логично , ну если не учитывать что оно как то все через одно место .. И не плохо функционирует уже около 10 лет ... К сожалению в наших реалиях только так , собственно и этому рады ) ... -
Фаервол со списком мак адресов
тему ответил в Tygra пользователя Tygra в Mikrotik коммутаторы и маршрутизаторы
Прямо жесткого контроля всего и вся не требуется , как я уже не однократно говорил, авторизацией занимается вышестоящая организация , она и осуществляет основной контроль . На данный момент с меня требуется только чистка и доступ к авторизации по маку , больше ничего .. Да понимаю что система мягко выражаясь не стандартная и реализовано как то через "опу" , но что дали то и "работаем" , изменить систему нет никакой возможности .... P\S По всей видимости все же надо городить огород из километра правил ... Ну попробую , не получается у тех кто ничего не делает , посмотрим что выйдет , я думаю будет все нормально ... -
Фаервол со списком мак адресов
тему ответил в Tygra пользователя Tygra в Mikrotik коммутаторы и маршрутизаторы
Читайте выше , оборудование транзитное, авторизация осуществляется на вышестоящих серверах к которым нет доступа. Что либо изменить в данной системе , ровно как способ авторизации не возможно, грубить при этом совершенно не обязательно . Требуется лишь контроль доступа к вышестоящим серверам по мак адресу , зачем это - надо , что либо изменить не возможно . Для авторизуемых не должно ничего измениться , они как логинились на вышестоящем сервере , так и логиниться , трафик Л2 , л3 только внутри туннелей , который мы не трогаем ... На "тазике" крутится около 6000 таких правил и ничего у него не "склеивается" . Почему - я выше обьяснил , не вижу особых отличий от которых загнется микрот . Вот концепция фаервола, после юникса , мягко выражаясь не адекватная, но это скорее с непривычки, не страшно - разберемся . -
Фаервол со списком мак адресов
тему ответил в Tygra пользователя Tygra в Mikrotik коммутаторы и маршрутизаторы
Я все до конца еще не изучил , только начал разбираться с микротом, на юниксе фаервол прост и логичен . Здесь я так понял что у моста свой загадочный фаервол , как оно будет под нагрузкой работать х.з. , на столе работает вроде адекватно . Сейчас я думаю как скрипт управления и синхронизации с базой упростить. -
Фаервол со списком мак адресов
тему ответил в Tygra пользователя Tygra в Mikrotik коммутаторы и маршрутизаторы
Я наверное не верно понял логику работы фаервола микрота, поправьте если я не прав , основной трафик имеет определенный признак , по данному признаку в первых двух правилах оно будет отрабатывать сразу на пропуск , не пропуская на проверку дальше т.к. оно должно пройти сразу и нет смысла его гонять по остальным тысячам правил . С чего каждый фрейм л2 будет проверяться всеми правилами фаервола ? Я же говорю что основной трафик "пройдет" через первые 2 правила . Проверка по макам пойдет по другим признакам и количество данный фреймов в общей полосе минимально .. Да . Через нас проходят только туннели , планирую пропуск самих тунелей, но контролировать их образование по мак адресу .