Tygra Posted November 15, 2017 День добрый . Добрался до кошки поковыряться . Дано Cisco 4948 , то бишь 4500 серия . Версия IOS 12.2(54)sg1Пытаюсь разобраться с ACLями . Надо фильтр пппое в заданном влане :Подключился к кошке через ип адрес , при помощи putty telnet.configure terminalmac access-list extended mac1permit any any 0x8863 0x0на последнюю команду оно мне в ответ : % Invalid input detected at '^' marker.И тыкает маркером на 0 в типе трафика 0x8863Что не так делаю ? P\S Совсем ничего в кошках не понимаю, взял вот посмотреть ... Пишут что должно робить , но что о не "идет" ... Share this post Link to post Share on other sites More sharing options...
kapydan Posted November 15, 2017 самый простой способ - это пользоваться знаком вопроса. в данном случае после permit. Share this post Link to post Share on other sites More sharing options...
Tygra Posted November 15, 2017 CentrSw(config-ext-macl)#permit any any ? protocol-family An Ethernet protocol family <cr> CentrSw(config-ext-macl)#permit any any 0x8863 ^ % Invalid input detected at '^' marker. Данная версия иос не понимает вид 0x8863 ? CentrSw#show version Cisco IOS Software, Catalyst 4500 L3 Switch Software (cat4500-LANBASEK9-M), Version 12.2(54)SG1, RELEASE SOFTWARE (fc1) версия иос Share this post Link to post Share on other sites More sharing options...
UglyAdmin Posted November 15, 2017 protocol-family - это ключевое слово, а не значение. Его надо написать. Share this post Link to post Share on other sites More sharing options...
Tygra Posted November 15, 2017 16 минут назад, UglyAdmin сказал: protocol-family - это ключевое слово, а не значение. Его надо написать. Я понимаю , но список "фабричных" протоколов ограничен и пппое в нем нет ... CentrSw(config-ext-macl)#permit any any protocol-family 0x8863 ^ % Invalid input detected at '^' marker. CentrSw(config-ext-macl)#permit any any protocol-family ? appletalk arp-non-ipv4 decnet ipx ipv6 rarp-ipv4 rarp-non-ipv4 vines xns Эмм или кошка семейства 4500х в принципе не может ACLить трафик отсутствующий в списке protocol-family ? Share this post Link to post Share on other sites More sharing options...
UglyAdmin Posted November 15, 2017 lanbase не умеет, да. Share this post Link to post Share on other sites More sharing options...
Tygra Posted November 15, 2017 5 минут назад, UglyAdmin сказал: lanbase не умеет, да. Это аппаратное ограничение семейства или нужно обновлять ПО ? Если обновлять то на что ? Share this post Link to post Share on other sites More sharing options...
UglyAdmin Posted November 15, 2017 lanbase и qinq не умеет, например. Это ПО. Копайте документацию, я с 4500 дел не имел. Там может быть много тонкостей, есть фичи, которые только на 4500-Е живут. Share this post Link to post Share on other sites More sharing options...
Tygra Posted November 15, 2017 Спасибо , надо почитать , есть у кого доступ к циско к прошивкам ? https://software.cisco.com/download/release.html?mdfid=279636820&reltype=latest&relind=AVAILABLE&dwnld=true&softwareid=280805680&catid=268438038&rellifecycle=MD&atcFlag=N&release=15.0.2-SG11&dwldImageGuid=F9A91DA640575A52CC23A7CDCA4A7B36B41D8829 на 4948 10gb последнюю интерпрайз ... Share this post Link to post Share on other sites More sharing options...
zhenya` Posted November 15, 2017 личку смотрите. Share this post Link to post Share on other sites More sharing options...
Tygra Posted November 15, 2017 2 часа назад, zhenya` сказал: личку смотрите. Большое спасибо , попробую обновить киску .. Share this post Link to post Share on other sites More sharing options...
Tygra Posted November 16, 2017 Обновил ПО : CentrSw#show version Cisco IOS Software, Catalyst 4500 L3 Switch Software (cat4500-ENTSERVICESK9-M), Version 15.0(2)SG11, RELEASE SOFTWARE (fc2) Ничего не изменилось .... Все по прежнему ... Странно это .. Share this post Link to post Share on other sites More sharing options...
Tygra Posted November 16, 2017 Что то я совсем уже запутался , в access-list есть запись (она была там) Extended MAC access list system-cpp-pppoe-disc permit any any protocol-family pppoe-disc Однако если попытаться создать другой extended лист с protocol-family pppoe-disc , оно сразу ругается на pppoe-disc .. Может ли наличие сего правила не давать создавать правило вида 0х8863 ? В мане указано что или то или то , но не понятно в масштабе всего коммутатора или одного списка ... Share this post Link to post Share on other sites More sharing options...
Tygra Posted November 17, 2017 Вопрос все еще открыт ... не могу понять что не так делаю .... пытался явно найти в мануалах , что именно моя железяка не поддерживает подобную фильтрацию... и не нашел , так бы нашел и угомонился бы .... Очень может быть что я что то элементарное упускаю по не знанию ... Подобный пример с 0х8863 есть в мане команд для данного коммутатора с оффсайта , оно не "хотит" робить , уже устал гугль мучить , скоро начну переводить все доки на свитч подряд , там инфы много , что то может найду .. Какой хороший человек подсказал бы ) .... Share this post Link to post Share on other sites More sharing options...
alibek Posted November 17, 2017 Если IOS знает про такой протокол, он будет указан мнемоникой, если не знает, то кодом. Например у меня так: CORE-NET-C3750G(config-ext-macl)#permit any any ? <0-65535> An arbitrary EtherType in decimal, hex, or octal aarp EtherType: AppleTalk ARP amber EtherType: DEC-Amber appletalk EtherType: AppleTalk/EtherTalk cos CoS value dec-spanning EtherType: DEC-Spanning-Tree decnet-iv EtherType: DECnet Phase IV diagnostic EtherType: DEC-Diagnostic dsm EtherType: DEC-DSM etype-6000 EtherType: 0x6000 etype-8042 EtherType: 0x8042 lat EtherType: DEC-LAT lavc-sca EtherType: DEC-LAVC-SCA lsap LSAP value mop-console EtherType: DEC-MOP Remote Console mop-dump EtherType: DEC-MOP Dump msdos EtherType: DEC-MSDOS mumps EtherType: DEC-MUMPS netbios EtherType: DEC-NETBIOS vines-echo EtherType: VINES Echo vines-ip EtherType: VINES IP xns-idp EtherType: XNS IDP <cr> CORE-NET-C3750G(config-ext-macl)#permit any any 34915 Share this post Link to post Share on other sites More sharing options...
YuryD Posted November 17, 2017 Может это благоглупость киски с древних времён, и просто по старинке acl-extended нумеровать по старинке - цифрами а не длинными названиями, ну и по старинке грохнуть acl, руками снова создать и добавлять правила руками, не выходя из конфиг-асл ? И вроде два одинаковых по названию асл создать не возможно. Share this post Link to post Share on other sites More sharing options...
Tygra Posted November 19, 2017 По всей видимости железка не умеет это делать : CentrSw(config-ext-macl)#permit any any ? protocol-family An Ethernet protocol family <cr> CentrSw(config-ext-macl)#permit any any protocol-family ? appletalk arp-non-ipv4 decnet ipx ipv6 rarp-ipv4 rarp-non-ipv4 vines xns CentrSw(config-ext-macl)#permit any any protocol-family Но однако что делает в текущих ACL запись : Extended MAC access list system-cpp-pppoe-disc permit any any protocol-family pppoe-disc ? family протокол которого нет в списке ? Share this post Link to post Share on other sites More sharing options...
Tygra Posted November 19, 2017 P\s В понедельник попробую переписать все ACL с нуля , они там по умолчанию стояли .. Share this post Link to post Share on other sites More sharing options...
UglyAdmin Posted November 20, 2017 Бывают ещё скрытые команды, которые по подсказке не отображаются, но проглатываются если правильно ввести. Share this post Link to post Share on other sites More sharing options...
Tygra Posted November 20, 2017 1 час назад, UglyAdmin сказал: скрытые команды Угу ... как в мане не проходит , подобрать пока не удалось .... пробовал ... Share this post Link to post Share on other sites More sharing options...
YuryD Posted November 20, 2017 В 19.11.2017 в 09:56, Tygra сказал: P\s В понедельник попробую переписать все ACL с нуля , они там по умолчанию стояли .. Понедельник закончился, результаты есть ? Мне просто интересно видеть саксесс-стори. Share this post Link to post Share on other sites More sharing options...
Telesis Posted November 28, 2017 Cisco IOS Software, Catalyst 4500 L3 Switch Software (cat4500e-ENTSERVICESK9-M), Version 15.1(1)SG2, RELEASE SOFTWARE (fc1) Technical Support: http://www.cisco.com/techsupport ... cisco WS-C4900M (MPC8548) processor (revision 2) with 1048576K bytes of memory. Processor board ID JAE162902WD MPC8548 CPU at 1.33GHz, Cisco Catalyst 4900M ... mac access-list extended PPPoE permit any any 0x8864 permit any any 0x8863 deny any any ! vlan access-map PPPoE_Only 10 match mac address PPPoE action forward vlan access-map PPPoE_Only 90 action drop ! vlan filter PPPoE_Only vlan-list 2030 Share this post Link to post Share on other sites More sharing options...
