Tygra Опубликовано 15 ноября, 2017 · Жалоба День добрый . Добрался до кошки поковыряться . Дано Cisco 4948 , то бишь 4500 серия . Версия IOS 12.2(54)sg1Пытаюсь разобраться с ACLями . Надо фильтр пппое в заданном влане :Подключился к кошке через ип адрес , при помощи putty telnet.configure terminalmac access-list extended mac1permit any any 0x8863 0x0на последнюю команду оно мне в ответ : % Invalid input detected at '^' marker.И тыкает маркером на 0 в типе трафика 0x8863Что не так делаю ? P\S Совсем ничего в кошках не понимаю, взял вот посмотреть ... Пишут что должно робить , но что о не "идет" ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapydan Опубликовано 15 ноября, 2017 · Жалоба самый простой способ - это пользоваться знаком вопроса. в данном случае после permit. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tygra Опубликовано 15 ноября, 2017 · Жалоба CentrSw(config-ext-macl)#permit any any ? protocol-family An Ethernet protocol family <cr> CentrSw(config-ext-macl)#permit any any 0x8863 ^ % Invalid input detected at '^' marker. Данная версия иос не понимает вид 0x8863 ? CentrSw#show version Cisco IOS Software, Catalyst 4500 L3 Switch Software (cat4500-LANBASEK9-M), Version 12.2(54)SG1, RELEASE SOFTWARE (fc1) версия иос Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 15 ноября, 2017 · Жалоба protocol-family - это ключевое слово, а не значение. Его надо написать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tygra Опубликовано 15 ноября, 2017 · Жалоба 16 минут назад, UglyAdmin сказал: protocol-family - это ключевое слово, а не значение. Его надо написать. Я понимаю , но список "фабричных" протоколов ограничен и пппое в нем нет ... CentrSw(config-ext-macl)#permit any any protocol-family 0x8863 ^ % Invalid input detected at '^' marker. CentrSw(config-ext-macl)#permit any any protocol-family ? appletalk arp-non-ipv4 decnet ipx ipv6 rarp-ipv4 rarp-non-ipv4 vines xns Эмм или кошка семейства 4500х в принципе не может ACLить трафик отсутствующий в списке protocol-family ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 15 ноября, 2017 · Жалоба lanbase не умеет, да. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tygra Опубликовано 15 ноября, 2017 · Жалоба 5 минут назад, UglyAdmin сказал: lanbase не умеет, да. Это аппаратное ограничение семейства или нужно обновлять ПО ? Если обновлять то на что ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 15 ноября, 2017 · Жалоба lanbase и qinq не умеет, например. Это ПО. Копайте документацию, я с 4500 дел не имел. Там может быть много тонкостей, есть фичи, которые только на 4500-Е живут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tygra Опубликовано 15 ноября, 2017 · Жалоба Спасибо , надо почитать , есть у кого доступ к циско к прошивкам ? https://software.cisco.com/download/release.html?mdfid=279636820&reltype=latest&relind=AVAILABLE&dwnld=true&softwareid=280805680&catid=268438038&rellifecycle=MD&atcFlag=N&release=15.0.2-SG11&dwldImageGuid=F9A91DA640575A52CC23A7CDCA4A7B36B41D8829 на 4948 10gb последнюю интерпрайз ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 15 ноября, 2017 · Жалоба личку смотрите. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tygra Опубликовано 15 ноября, 2017 · Жалоба 2 часа назад, zhenya` сказал: личку смотрите. Большое спасибо , попробую обновить киску .. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tygra Опубликовано 16 ноября, 2017 · Жалоба Обновил ПО : CentrSw#show version Cisco IOS Software, Catalyst 4500 L3 Switch Software (cat4500-ENTSERVICESK9-M), Version 15.0(2)SG11, RELEASE SOFTWARE (fc2) Ничего не изменилось .... Все по прежнему ... Странно это .. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tygra Опубликовано 16 ноября, 2017 · Жалоба Что то я совсем уже запутался , в access-list есть запись (она была там) Extended MAC access list system-cpp-pppoe-disc permit any any protocol-family pppoe-disc Однако если попытаться создать другой extended лист с protocol-family pppoe-disc , оно сразу ругается на pppoe-disc .. Может ли наличие сего правила не давать создавать правило вида 0х8863 ? В мане указано что или то или то , но не понятно в масштабе всего коммутатора или одного списка ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tygra Опубликовано 17 ноября, 2017 · Жалоба Вопрос все еще открыт ... не могу понять что не так делаю .... пытался явно найти в мануалах , что именно моя железяка не поддерживает подобную фильтрацию... и не нашел , так бы нашел и угомонился бы .... Очень может быть что я что то элементарное упускаю по не знанию ... Подобный пример с 0х8863 есть в мане команд для данного коммутатора с оффсайта , оно не "хотит" робить , уже устал гугль мучить , скоро начну переводить все доки на свитч подряд , там инфы много , что то может найду .. Какой хороший человек подсказал бы ) .... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 17 ноября, 2017 · Жалоба Если IOS знает про такой протокол, он будет указан мнемоникой, если не знает, то кодом. Например у меня так: CORE-NET-C3750G(config-ext-macl)#permit any any ? <0-65535> An arbitrary EtherType in decimal, hex, or octal aarp EtherType: AppleTalk ARP amber EtherType: DEC-Amber appletalk EtherType: AppleTalk/EtherTalk cos CoS value dec-spanning EtherType: DEC-Spanning-Tree decnet-iv EtherType: DECnet Phase IV diagnostic EtherType: DEC-Diagnostic dsm EtherType: DEC-DSM etype-6000 EtherType: 0x6000 etype-8042 EtherType: 0x8042 lat EtherType: DEC-LAT lavc-sca EtherType: DEC-LAVC-SCA lsap LSAP value mop-console EtherType: DEC-MOP Remote Console mop-dump EtherType: DEC-MOP Dump msdos EtherType: DEC-MSDOS mumps EtherType: DEC-MUMPS netbios EtherType: DEC-NETBIOS vines-echo EtherType: VINES Echo vines-ip EtherType: VINES IP xns-idp EtherType: XNS IDP <cr> CORE-NET-C3750G(config-ext-macl)#permit any any 34915 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 17 ноября, 2017 · Жалоба Может это благоглупость киски с древних времён, и просто по старинке acl-extended нумеровать по старинке - цифрами а не длинными названиями, ну и по старинке грохнуть acl, руками снова создать и добавлять правила руками, не выходя из конфиг-асл ? И вроде два одинаковых по названию асл создать не возможно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tygra Опубликовано 19 ноября, 2017 · Жалоба По всей видимости железка не умеет это делать : CentrSw(config-ext-macl)#permit any any ? protocol-family An Ethernet protocol family <cr> CentrSw(config-ext-macl)#permit any any protocol-family ? appletalk arp-non-ipv4 decnet ipx ipv6 rarp-ipv4 rarp-non-ipv4 vines xns CentrSw(config-ext-macl)#permit any any protocol-family Но однако что делает в текущих ACL запись : Extended MAC access list system-cpp-pppoe-disc permit any any protocol-family pppoe-disc ? family протокол которого нет в списке ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tygra Опубликовано 19 ноября, 2017 · Жалоба P\s В понедельник попробую переписать все ACL с нуля , они там по умолчанию стояли .. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 20 ноября, 2017 · Жалоба Бывают ещё скрытые команды, которые по подсказке не отображаются, но проглатываются если правильно ввести. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tygra Опубликовано 20 ноября, 2017 · Жалоба 1 час назад, UglyAdmin сказал: скрытые команды Угу ... как в мане не проходит , подобрать пока не удалось .... пробовал ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 20 ноября, 2017 · Жалоба В 19.11.2017 в 09:56, Tygra сказал: P\s В понедельник попробую переписать все ACL с нуля , они там по умолчанию стояли .. Понедельник закончился, результаты есть ? Мне просто интересно видеть саксесс-стори. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Telesis Опубликовано 28 ноября, 2017 · Жалоба Cisco IOS Software, Catalyst 4500 L3 Switch Software (cat4500e-ENTSERVICESK9-M), Version 15.1(1)SG2, RELEASE SOFTWARE (fc1) Technical Support: http://www.cisco.com/techsupport ... cisco WS-C4900M (MPC8548) processor (revision 2) with 1048576K bytes of memory. Processor board ID JAE162902WD MPC8548 CPU at 1.33GHz, Cisco Catalyst 4900M ... mac access-list extended PPPoE permit any any 0x8864 permit any any 0x8863 deny any any ! vlan access-map PPPoE_Only 10 match mac address PPPoE action forward vlan access-map PPPoE_Only 90 action drop ! vlan filter PPPoE_Only vlan-list 2030 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...