Перейти к содержимому
Калькуляторы

Cisco ACL L2

День добрый . Добрался до кошки поковыряться . Дано Cisco 4948 , то бишь 4500 серия . Версия IOS 12.2(54)sg1

Пытаюсь разобраться с ACLями . Надо фильтр пппое в заданном влане :
Подключился к кошке через ип адрес , при помощи putty telnet.

configure terminal
mac access-list extended mac1
permit any any 0x8863 0x0

на последнюю команду оно мне в ответ : 

% Invalid input detected at '^' marker.

И тыкает маркером на 0 в типе трафика 0x8863

Что не так делаю ? 

P\S Совсем ничего в кошках не понимаю, взял вот посмотреть ... Пишут что должно робить , но что о не "идет" ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

самый простой способ - это пользоваться знаком вопроса. в данном случае после permit.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

CentrSw(config-ext-macl)#permit any any ?
  protocol-family  An Ethernet protocol family
  <cr>
CentrSw(config-ext-macl)#permit any any 0x8863
                                        ^
% Invalid input detected at '^' marker.

Данная версия иос не понимает вид 0x8863 ? 

 
 

 

CentrSw#show version
Cisco IOS Software, Catalyst 4500 L3 Switch Software (cat4500-LANBASEK9-M), Version 12.2(54)SG1, RELEASE SOFTWARE (fc1)

версия иос

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

protocol-family - это ключевое слово, а не значение. Его надо написать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

16 минут назад, UglyAdmin сказал:

protocol-family - это ключевое слово, а не значение. Его надо написать.

Я понимаю , но список "фабричных" протоколов ограничен и пппое в нем нет ...

 

CentrSw(config-ext-macl)#permit any any protocol-family 0x8863
                                                        ^
% Invalid input detected at '^' marker.

 

 

CentrSw(config-ext-macl)#permit any any protocol-family ?
  appletalk
  arp-non-ipv4
  decnet
  ipx
  ipv6
  rarp-ipv4
  rarp-non-ipv4
  vines
  xns

 

 

Эмм или кошка семейства 4500х в принципе не может ACLить трафик отсутствующий в списке protocol-family ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

lanbase не умеет, да.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

5 минут назад, UglyAdmin сказал:

lanbase не умеет, да.

Это аппаратное ограничение семейства или нужно обновлять ПО ? Если обновлять то на что ? 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

lanbase и qinq не умеет, например.

Это ПО. Копайте документацию, я с 4500 дел не имел. Там может быть много тонкостей, есть фичи, которые только на 4500-Е живут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасибо , надо почитать , есть у кого доступ к циско к прошивкам ? 

 

https://software.cisco.com/download/release.html?mdfid=279636820&reltype=latest&relind=AVAILABLE&dwnld=true&softwareid=280805680&catid=268438038&rellifecycle=MD&atcFlag=N&release=15.0.2-SG11&dwldImageGuid=F9A91DA640575A52CC23A7CDCA4A7B36B41D8829

 

на 4948 10gb последнюю интерпрайз ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, zhenya` сказал:

личку смотрите.

Большое спасибо , попробую обновить киску ..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Обновил ПО : 

CentrSw#show version
Cisco IOS Software, Catalyst 4500 L3 Switch Software (cat4500-ENTSERVICESK9-M), Version 15.0(2)SG11, RELEASE SOFTWARE (fc2)

Ничего не изменилось .... Все по прежнему ... Странно это ..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Что то я совсем уже запутался , в access-list есть запись (она была там) 

Extended MAC access list system-cpp-pppoe-disc
    permit any any protocol-family pppoe-disc

Однако если попытаться создать другой extended лист с protocol-family pppoe-disc , оно сразу ругается на pppoe-disc .. 

Может ли наличие сего правила не давать создавать правило вида 0х8863 ? В мане указано что или то или то , но не понятно в масштабе всего коммутатора или одного списка ... 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вопрос все еще открыт ... не могу понять что не так делаю .... пытался явно найти в мануалах , что именно моя железяка не поддерживает подобную фильтрацию... и не нашел , так бы нашел и угомонился бы .... Очень может быть что я что то элементарное упускаю по не знанию ... Подобный пример с 0х8863 есть в мане команд для данного коммутатора с оффсайта , оно не "хотит" робить , уже устал гугль мучить , скоро начну переводить все доки на свитч подряд , там инфы много , что то может найду .. Какой хороший человек подсказал бы ) ....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если IOS знает про такой протокол, он будет указан мнемоникой, если не знает, то кодом.

Например у меня так:

CORE-NET-C3750G(config-ext-macl)#permit any any ?
  <0-65535>     An arbitrary EtherType in decimal, hex, or octal
  aarp          EtherType: AppleTalk ARP
  amber         EtherType: DEC-Amber
  appletalk     EtherType: AppleTalk/EtherTalk
  cos           CoS value
  dec-spanning  EtherType: DEC-Spanning-Tree
  decnet-iv     EtherType: DECnet Phase IV
  diagnostic    EtherType: DEC-Diagnostic
  dsm           EtherType: DEC-DSM
  etype-6000    EtherType: 0x6000
  etype-8042    EtherType: 0x8042
  lat           EtherType: DEC-LAT
  lavc-sca      EtherType: DEC-LAVC-SCA
  lsap          LSAP value
  mop-console   EtherType: DEC-MOP Remote Console
  mop-dump      EtherType: DEC-MOP Dump
  msdos         EtherType: DEC-MSDOS
  mumps         EtherType: DEC-MUMPS
  netbios       EtherType: DEC-NETBIOS
  vines-echo    EtherType: VINES Echo
  vines-ip      EtherType: VINES IP
  xns-idp       EtherType: XNS IDP
  <cr>

CORE-NET-C3750G(config-ext-macl)#permit any any 34915

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Может это благоглупость киски с древних времён, и просто по старинке acl-extended нумеровать по старинке - цифрами а не длинными названиями, ну и по старинке грохнуть acl, руками снова создать и добавлять правила руками, не выходя из конфиг-асл ?

 И вроде два одинаковых по названию асл создать не возможно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

По всей видимости железка не умеет это делать :

 

CentrSw(config-ext-macl)#permit any any ?
  protocol-family  An Ethernet protocol family
  <cr>

CentrSw(config-ext-macl)#permit any any protocol-family ?
  appletalk
  arp-non-ipv4
  decnet
  ipx
  ipv6
  rarp-ipv4
  rarp-non-ipv4
  vines
  xns

CentrSw(config-ext-macl)#permit any any protocol-family

 

 

Но однако что делает в текущих ACL запись : 

Extended MAC access list system-cpp-pppoe-disc
    permit any any protocol-family pppoe-disc

?  family протокол которого нет в списке ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

P\s В понедельник попробую переписать все ACL с нуля , они там по умолчанию стояли .. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Бывают ещё скрытые команды, которые по подсказке не отображаются, но проглатываются если правильно ввести.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, UglyAdmin сказал:

скрытые команды

Угу ... как в мане не проходит , подобрать пока не удалось .... пробовал ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 19.11.2017 в 09:56, Tygra сказал:

P\s В понедельник попробую переписать все ACL с нуля , они там по умолчанию стояли .. 

 Понедельник закончился, результаты есть ? Мне просто интересно видеть саксесс-стори.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Cisco IOS Software, Catalyst 4500 L3 Switch Software (cat4500e-ENTSERVICESK9-M), Version 15.1(1)SG2, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
...
cisco WS-C4900M (MPC8548) processor (revision 2) with 1048576K bytes of memory.
Processor board ID JAE162902WD
MPC8548 CPU at 1.33GHz, Cisco Catalyst 4900M
...


mac access-list extended PPPoE
 permit any any 0x8864
 permit any any 0x8863
 deny   any any
!

vlan access-map PPPoE_Only 10
 match mac address PPPoE
 action forward
vlan access-map PPPoE_Only 90
 action drop
! 

vlan filter PPPoE_Only vlan-list 2030

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.