RN3DCX Posted January 3, 2017 Posted January 3, 2017 Дано: коммутатор Cisco 3750G Появилась необходимость повесить ACL на Loopback, но не тут то было... ACL на Loopback'е висит, но правила не обрабатываются. Если этот же ACL повесить на interface Vlan 123, то всё ок. Если у кого соображения по этому поводу??? Вставить ник Quote
zi_rus Posted January 3, 2017 Posted January 3, 2017 Это не джунипер, если ацл нужен для ограничения доступа, для этого есть line vty и control-plane policy Вставить ник Quote
RN3DCX Posted January 3, 2017 Author Posted January 3, 2017 zi_rus, да вы правы, хочу забанить доступ к SSH. vty не вариант, т.к. в этом случае надо прописывать доступ с определенных IP. Тоже думал о COPP, но пока не соображу как элегантно это сделать. Вставить ник Quote
zi_rus Posted January 3, 2017 Posted January 3, 2017 vty как раз вариант, самый простой и правильный Вставить ник Quote
RN3DCX Posted January 3, 2017 Author Posted January 3, 2017 Ок, а если дома пров мне выдаёт динамический IP, то как быть с vty. Вариант с покупкой статического IP не предлагать! Вставить ник Quote
zi_rus Posted January 3, 2017 Posted January 3, 2017 открыть доступ с пула прова, или поднимать впн до сервера доступа, или вывести в интернет сервер со статическим адресом и ходить через него. масса вариантов, все зависит от фантазии Вставить ник Quote
RN3DCX Posted January 3, 2017 Author Posted January 3, 2017 И всё таки с vty выход один, это запретить все IP кроме избранных, ну либо пул, как вы предложили. Но в моем случае COPP наверное будет боле правильное решение. Только не пойму как в COPP на Loopback'е сделать DROP на port 22. 3750(config)#access-list 112 permit tcp any any eq 22 3750(config)#class-map ? WORD class-map name match-all Logical-AND all matching statements under this classmap match-any Logical-OR all matching statements under this classmap 3750(config)#class-map match-all LOCK_SSH 3750(config-cmap)#? QoS class-map configuration commands: description Class-Map description exit Exit from QoS class-map configuration mode match classification criteria no Negate or set default values of a command 3750(config-cmap)#match interface lo0 ^ % Invalid input detected at '^' marker. 3750(config-cmap)#match ? access-group Access group input-interface Select one or more input interfaces to match ip IP specific values 3750(config-cmap)#match input-interface lo0 3750(config-cmap)#? QoS class-map configuration commands: description Class-Map description exit Exit from QoS class-map configuration mode match classification criteria no Negate or set default values of a command 3750(config-cmap)#exit 3750(config)#policy-map SSH_POLYCE 3750(config-pmap)#? QoS policy-map configuration commands: class policy criteria description Policy-Map description exit Exit from QoS policy-map configuration mode no Negate or set default values of a command <cr> 3750(config-pmap)#class ? WORD class-map name class-default System default class matching otherwise unclassified packets 3750(config-pmap)#class LOCK_SSH 3750(config-pmap-c)#? QoS policy-map class configuration commands: exit Exit from QoS class action configuration mode no Negate or set default values of a command police Police service-policy Configure QoS Service Policy set Set QoS values trust Set trust value for the class <cr> 3750(config-pmap-c)#set? set 3750(config-pmap-c)#police drop ^ % Invalid input detected at '^' marker. 3750(config-pmap-c)#police ? <8000-10000000000> Bits per second (postfix k, m, g optional; decimal point allowed) aggregate Choose aggregate policer for current class Вставить ник Quote
artplanet Posted January 3, 2017 Posted January 3, 2017 (edited) ip local policy route-map RM_Traceroute route-map RM_Traceroute permit 10 match ip address ACL_Traceroute set interface Null0 ! ip access-list extended ACL_Traceroute deny icmp any host 84.x.y.z permit icmp host 62.x.y.z any permit icmp host 87.x.y.z any ACL обратная - советую попробовать такой вариант. то есть все что в дени - разрешается, то что в пермите - запретиться. такой вариант блокирует пакеты и не отправляет в процессор - проверяли на 6500 Edited January 3, 2017 by artplanet Вставить ник Quote
RN3DCX Posted January 3, 2017 Author Posted January 3, 2017 artplanet, спасибо, сейчас опробую предложенный вариант. Вставить ник Quote
RN3DCX Posted January 3, 2017 Author Posted January 3, 2017 а через policy-map я так понимаю не заблокировать порт 22 ? Вставить ник Quote
artplanet Posted January 3, 2017 Posted January 3, 2017 а через policy-map я так понимаю не заблокировать порт 22 ? все зависит от ACL Вставить ник Quote
RN3DCX Posted January 3, 2017 Author Posted January 3, 2017 access-list 112 permit tcp any any eq 22 Вставить ник Quote
artplanet Posted January 4, 2017 Posted January 4, 2017 access-list 112 permit tcp any any eq 22 должно работать - но опять же - мы проверяли на 6500 серии, на 3750 не уверены что заработает. Вставить ник Quote
RN3DCX Posted January 4, 2017 Author Posted January 4, 2017 Да, к моему сожалению на 3750 не взлетело... Вставить ник Quote
sexst Posted January 10, 2017 Posted January 10, 2017 И не взлетит. Для начала loopback - интерфейс виртуальный, реально трафик принимается на vlanif. Кроме того по идее 3750 не умеет фильтровать пакеты, нацеленные в control plane, при помощи acl общего назначения в принципе. И COPP на этой модели тоже, насколько помнится, нет. Вставить ник Quote
RN3DCX Posted January 11, 2017 Author Posted January 11, 2017 sexst, на одном забугровском форуме было сказано так, что ACL правила на loopback'е не будут работать потому, что коммутатор считает маршруты до loopback'а за свои собственные. А свои внутренние служебные маршруты от не банит. Вставить ник Quote
ShyLion Posted January 11, 2017 Posted January 11, 2017 Ок, а если дома пров мне выдаёт динамический IP, то как быть с vty. Вариант с покупкой статического IP не предлагать! Я дико извиняюсь, но какая связь между лупбеком свича на работе и IP дома? Вставить ник Quote
RN3DCX Posted January 11, 2017 Author Posted January 11, 2017 Ув. форумчане! читайте тему полностью и внимательно, и тогда подобные вопросы сами по себе отпадут. zi_rus, за что ему отделено спасибо, предложил вариант повесить ACL на vty и прописать там домашний IP. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.