RN3DCX Posted January 3, 2017 · Report post Дано: коммутатор Cisco 3750G Появилась необходимость повесить ACL на Loopback, но не тут то было... ACL на Loopback'е висит, но правила не обрабатываются. Если этот же ACL повесить на interface Vlan 123, то всё ок. Если у кого соображения по этому поводу??? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zi_rus Posted January 3, 2017 · Report post Это не джунипер, если ацл нужен для ограничения доступа, для этого есть line vty и control-plane policy Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted January 3, 2017 · Report post zi_rus, да вы правы, хочу забанить доступ к SSH. vty не вариант, т.к. в этом случае надо прописывать доступ с определенных IP. Тоже думал о COPP, но пока не соображу как элегантно это сделать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zi_rus Posted January 3, 2017 · Report post vty как раз вариант, самый простой и правильный Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted January 3, 2017 · Report post Ок, а если дома пров мне выдаёт динамический IP, то как быть с vty. Вариант с покупкой статического IP не предлагать! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zi_rus Posted January 3, 2017 · Report post открыть доступ с пула прова, или поднимать впн до сервера доступа, или вывести в интернет сервер со статическим адресом и ходить через него. масса вариантов, все зависит от фантазии Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted January 3, 2017 · Report post И всё таки с vty выход один, это запретить все IP кроме избранных, ну либо пул, как вы предложили. Но в моем случае COPP наверное будет боле правильное решение. Только не пойму как в COPP на Loopback'е сделать DROP на port 22. 3750(config)#access-list 112 permit tcp any any eq 22 3750(config)#class-map ? WORD class-map name match-all Logical-AND all matching statements under this classmap match-any Logical-OR all matching statements under this classmap 3750(config)#class-map match-all LOCK_SSH 3750(config-cmap)#? QoS class-map configuration commands: description Class-Map description exit Exit from QoS class-map configuration mode match classification criteria no Negate or set default values of a command 3750(config-cmap)#match interface lo0 ^ % Invalid input detected at '^' marker. 3750(config-cmap)#match ? access-group Access group input-interface Select one or more input interfaces to match ip IP specific values 3750(config-cmap)#match input-interface lo0 3750(config-cmap)#? QoS class-map configuration commands: description Class-Map description exit Exit from QoS class-map configuration mode match classification criteria no Negate or set default values of a command 3750(config-cmap)#exit 3750(config)#policy-map SSH_POLYCE 3750(config-pmap)#? QoS policy-map configuration commands: class policy criteria description Policy-Map description exit Exit from QoS policy-map configuration mode no Negate or set default values of a command <cr> 3750(config-pmap)#class ? WORD class-map name class-default System default class matching otherwise unclassified packets 3750(config-pmap)#class LOCK_SSH 3750(config-pmap-c)#? QoS policy-map class configuration commands: exit Exit from QoS class action configuration mode no Negate or set default values of a command police Police service-policy Configure QoS Service Policy set Set QoS values trust Set trust value for the class <cr> 3750(config-pmap-c)#set? set 3750(config-pmap-c)#police drop ^ % Invalid input detected at '^' marker. 3750(config-pmap-c)#police ? <8000-10000000000> Bits per second (postfix k, m, g optional; decimal point allowed) aggregate Choose aggregate policer for current class Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
artplanet Posted January 3, 2017 (edited) · Report post ip local policy route-map RM_Traceroute route-map RM_Traceroute permit 10 match ip address ACL_Traceroute set interface Null0 ! ip access-list extended ACL_Traceroute deny icmp any host 84.x.y.z permit icmp host 62.x.y.z any permit icmp host 87.x.y.z any ACL обратная - советую попробовать такой вариант. то есть все что в дени - разрешается, то что в пермите - запретиться. такой вариант блокирует пакеты и не отправляет в процессор - проверяли на 6500 Edited January 3, 2017 by artplanet Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted January 3, 2017 · Report post artplanet, спасибо, сейчас опробую предложенный вариант. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted January 3, 2017 · Report post а через policy-map я так понимаю не заблокировать порт 22 ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
artplanet Posted January 3, 2017 · Report post а через policy-map я так понимаю не заблокировать порт 22 ? все зависит от ACL Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted January 3, 2017 · Report post access-list 112 permit tcp any any eq 22 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
artplanet Posted January 4, 2017 · Report post access-list 112 permit tcp any any eq 22 должно работать - но опять же - мы проверяли на 6500 серии, на 3750 не уверены что заработает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted January 4, 2017 · Report post Да, к моему сожалению на 3750 не взлетело... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sexst Posted January 10, 2017 · Report post И не взлетит. Для начала loopback - интерфейс виртуальный, реально трафик принимается на vlanif. Кроме того по идее 3750 не умеет фильтровать пакеты, нацеленные в control plane, при помощи acl общего назначения в принципе. И COPP на этой модели тоже, насколько помнится, нет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted January 11, 2017 · Report post sexst, на одном забугровском форуме было сказано так, что ACL правила на loopback'е не будут работать потому, что коммутатор считает маршруты до loopback'а за свои собственные. А свои внутренние служебные маршруты от не банит. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted January 11, 2017 · Report post Ок, а если дома пров мне выдаёт динамический IP, то как быть с vty. Вариант с покупкой статического IP не предлагать! Я дико извиняюсь, но какая связь между лупбеком свича на работе и IP дома? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted January 11, 2017 · Report post Ув. форумчане! читайте тему полностью и внимательно, и тогда подобные вопросы сами по себе отпадут. zi_rus, за что ему отделено спасибо, предложил вариант повесить ACL на vty и прописать там домашний IP. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...