[RN3DCX]

Дано: коммутатор Cisco 3750G

 

Появилась необходимость повесить ACL на Loopback, но не тут то было...

ACL на Loopback'е висит, но правила не обрабатываются.

Если этот же ACL повесить на interface Vlan 123, то всё ок.

 

Если у кого соображения по этому поводу???

[zi_rus]

Это не джунипер, если ацл нужен для ограничения доступа, для этого есть line vty и control-plane policy

[RN3DCX]

zi_rus, да вы правы, хочу забанить доступ к SSH.

vty не вариант, т.к. в этом случае надо прописывать доступ с определенных IP.

Тоже думал о COPP, но пока не соображу как элегантно это сделать.

[zi_rus]

vty как раз вариант, самый простой и правильный

[RN3DCX]

Ок, а если дома пров мне выдаёт динамический IP, то как быть с vty.

Вариант с покупкой статического IP не предлагать!

[zi_rus]

открыть доступ с пула прова, или поднимать впн до сервера доступа, или вывести в интернет сервер со статическим адресом и ходить через него.

 

масса вариантов, все зависит от фантазии

[RN3DCX]

И всё таки с vty выход один, это запретить все IP кроме избранных, ну либо пул, как вы предложили.

Но в моем случае COPP наверное будет боле правильное решение.

Только не пойму как в COPP на Loopback'е сделать DROP на port 22.

 

 

3750(config)#access-list 112 permit tcp any any eq 22
3750(config)#class-map ?
 WORD       class-map name
 match-all  Logical-AND all matching statements under this classmap
 match-any  Logical-OR all matching statements under this classmap

3750(config)#class-map match-all LOCK_SSH
3750(config-cmap)#?
QoS class-map configuration commands:
 description  Class-Map description
 exit         Exit from QoS class-map configuration mode
 match        classification criteria
 no           Negate or set default values of a command

3750(config-cmap)#match interface lo0
                                  ^
% Invalid input detected at '^' marker.

3750(config-cmap)#match ?
 access-group     Access group
 input-interface  Select one or more input interfaces to match
 ip               IP specific values

3750(config-cmap)#match input-interface lo0
3750(config-cmap)#?
QoS class-map configuration commands:
 description  Class-Map description
 exit         Exit from QoS class-map configuration mode
 match        classification criteria
 no           Negate or set default values of a command

3750(config-cmap)#exit
3750(config)#policy-map SSH_POLYCE
3750(config-pmap)#?
QoS policy-map configuration commands:
 class        policy criteria
 description  Policy-Map description
 exit         Exit from QoS policy-map configuration mode
 no           Negate or set default values of a command
 <cr>

3750(config-pmap)#class ?
 WORD            class-map name
 class-default   System default class matching otherwise unclassified packets

3750(config-pmap)#class LOCK_SSH
3750(config-pmap-c)#?
QoS policy-map class configuration commands:
 exit            Exit from QoS class action configuration mode
 no              Negate or set default values of a command
 police          Police
 service-policy  Configure QoS Service Policy
 set             Set QoS values
 trust           Set trust value for the class
 <cr>

3750(config-pmap-c)#set?
set

3750(config-pmap-c)#police drop
                                   ^
% Invalid input detected at '^' marker.

3750(config-pmap-c)#police ?
 <8000-10000000000>  Bits per second (postfix k, m, g optional; decimal point
                     allowed)
 aggregate           Choose aggregate policer for current class

[artplanet]

ip local policy route-map RM_Traceroute

route-map RM_Traceroute permit 10
match ip address ACL_Traceroute
set interface Null0
!

ip access-list extended ACL_Traceroute
deny   icmp any host 84.x.y.z
permit icmp host 62.x.y.z any
permit icmp host 87.x.y.z any

 

ACL обратная - советую попробовать такой вариант.

то есть все что в дени - разрешается, то что в пермите - запретиться.

 

такой вариант блокирует пакеты и не отправляет в процессор - проверяли на 6500

Изменено 3 января, 2017 пользователем artplanet

[RN3DCX]

artplanet, спасибо, сейчас опробую предложенный вариант.

[RN3DCX]

а через policy-map я так понимаю не заблокировать порт 22 ?

[artplanet]

а через policy-map я так понимаю не заблокировать порт 22 ?

 

 

все зависит от ACL

[RN3DCX]

access-list 112

permit tcp any any eq 22

[artplanet]

access-list 112

permit tcp any any eq 22

 

должно работать - но опять же - мы проверяли на 6500 серии, на 3750 не уверены что заработает.

[RN3DCX]

Да, к моему сожалению на 3750 не взлетело...

[sexst]

И не взлетит. Для начала loopback - интерфейс виртуальный, реально трафик принимается на vlanif. Кроме того по идее 3750 не умеет фильтровать пакеты, нацеленные в control plane, при помощи acl общего назначения в принципе. И COPP на этой модели тоже, насколько помнится, нет.

[RN3DCX]

sexst, на одном забугровском форуме было сказано так,

что ACL правила на loopback'е не будут работать потому,

что коммутатор считает маршруты до loopback'а за свои собственные.

А свои внутренние служебные маршруты от не банит.

[ShyLion]

Ок, а если дома пров мне выдаёт динамический IP, то как быть с vty.

Вариант с покупкой статического IP не предлагать!

Я дико извиняюсь, но какая связь между лупбеком свича на работе и IP дома?

[RN3DCX]

Ув. форумчане!

читайте тему полностью и внимательно,

и тогда подобные вопросы сами по себе отпадут.

 

zi_rus, за что ему отделено спасибо, предложил вариант повесить ACL на vty и прописать там домашний IP.