Jump to content
Калькуляторы

WTF 3750G + Loopback + ACL

Дано: коммутатор Cisco 3750G

 

Появилась необходимость повесить ACL на Loopback, но не тут то было...

ACL на Loopback'е висит, но правила не обрабатываются.

Если этот же ACL повесить на interface Vlan 123, то всё ок.

 

Если у кого соображения по этому поводу???

Share this post


Link to post
Share on other sites

Это не джунипер, если ацл нужен для ограничения доступа, для этого есть line vty и control-plane policy

Share this post


Link to post
Share on other sites

zi_rus, да вы правы, хочу забанить доступ к SSH.

vty не вариант, т.к. в этом случае надо прописывать доступ с определенных IP.

Тоже думал о COPP, но пока не соображу как элегантно это сделать.

Share this post


Link to post
Share on other sites

открыть доступ с пула прова, или поднимать впн до сервера доступа, или вывести в интернет сервер со статическим адресом и ходить через него.

 

масса вариантов, все зависит от фантазии

Share this post


Link to post
Share on other sites

И всё таки с vty выход один, это запретить все IP кроме избранных, ну либо пул, как вы предложили.

Но в моем случае COPP наверное будет боле правильное решение.

Только не пойму как в COPP на Loopback'е сделать DROP на port 22.

 

 

3750(config)#access-list 112 permit tcp any any eq 22
3750(config)#class-map ?
 WORD       class-map name
 match-all  Logical-AND all matching statements under this classmap
 match-any  Logical-OR all matching statements under this classmap

3750(config)#class-map match-all LOCK_SSH
3750(config-cmap)#?
QoS class-map configuration commands:
 description  Class-Map description
 exit         Exit from QoS class-map configuration mode
 match        classification criteria
 no           Negate or set default values of a command

3750(config-cmap)#match interface lo0
                                  ^
% Invalid input detected at '^' marker.

3750(config-cmap)#match ?
 access-group     Access group
 input-interface  Select one or more input interfaces to match
 ip               IP specific values

3750(config-cmap)#match input-interface lo0
3750(config-cmap)#?
QoS class-map configuration commands:
 description  Class-Map description
 exit         Exit from QoS class-map configuration mode
 match        classification criteria
 no           Negate or set default values of a command

3750(config-cmap)#exit
3750(config)#policy-map SSH_POLYCE
3750(config-pmap)#?
QoS policy-map configuration commands:
 class        policy criteria
 description  Policy-Map description
 exit         Exit from QoS policy-map configuration mode
 no           Negate or set default values of a command
 <cr>

3750(config-pmap)#class ?
 WORD            class-map name
 class-default   System default class matching otherwise unclassified packets

3750(config-pmap)#class LOCK_SSH
3750(config-pmap-c)#?
QoS policy-map class configuration commands:
 exit            Exit from QoS class action configuration mode
 no              Negate or set default values of a command
 police          Police
 service-policy  Configure QoS Service Policy
 set             Set QoS values
 trust           Set trust value for the class
 <cr>

3750(config-pmap-c)#set?
set

3750(config-pmap-c)#police drop
                                   ^
% Invalid input detected at '^' marker.

3750(config-pmap-c)#police ?
 <8000-10000000000>  Bits per second (postfix k, m, g optional; decimal point
                     allowed)
 aggregate           Choose aggregate policer for current class

Share this post


Link to post
Share on other sites

ip local policy route-map RM_Traceroute

route-map RM_Traceroute permit 10
match ip address ACL_Traceroute
set interface Null0
!

ip access-list extended ACL_Traceroute
deny   icmp any host 84.x.y.z
permit icmp host 62.x.y.z any
permit icmp host 87.x.y.z any


 

ACL обратная - советую попробовать такой вариант.

то есть все что в дени - разрешается, то что в пермите - запретиться.

 

такой вариант блокирует пакеты и не отправляет в процессор - проверяли на 6500

Edited by artplanet

Share this post


Link to post
Share on other sites

access-list 112

permit tcp any any eq 22

 

должно работать - но опять же - мы проверяли на 6500 серии, на 3750 не уверены что заработает.

Share this post


Link to post
Share on other sites

И не взлетит. Для начала loopback - интерфейс виртуальный, реально трафик принимается на vlanif. Кроме того по идее 3750 не умеет фильтровать пакеты, нацеленные в control plane, при помощи acl общего назначения в принципе. И COPP на этой модели тоже, насколько помнится, нет.

Share this post


Link to post
Share on other sites

sexst, на одном забугровском форуме было сказано так,

что ACL правила на loopback'е не будут работать потому,

что коммутатор считает маршруты до loopback'а за свои собственные.

А свои внутренние служебные маршруты от не банит.

Share this post


Link to post
Share on other sites

Ок, а если дома пров мне выдаёт динамический IP, то как быть с vty.

Вариант с покупкой статического IP не предлагать!

Я дико извиняюсь, но какая связь между лупбеком свича на работе и IP дома?

Share this post


Link to post
Share on other sites

Ув. форумчане!

читайте тему полностью и внимательно,

и тогда подобные вопросы сами по себе отпадут.

 

zi_rus, за что ему отделено спасибо, предложил вариант повесить ACL на vty и прописать там домашний IP.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.