Jump to content

SNR-S2990G-48T firewall

aaaaa
 Share

Recommended Posts

aaaaa

aaaaa

Posted
Posted

Добрый день,

 

ниже написанные правила работают на snr s2960, orion alpha a26.

для работы на SNR-S2965-24T работают, если разрешить ARP путем permit any-source-mac any-destination-mac tpid 806 ip any-source any-destination,

что надо сделать на  SNR-S2990G-48T для работы данных правил?

 

ip access-list extended users
  deny ip any-source host-destination 255.255.255.255
  deny ip any-source 10.0.0.0 0.255.255.255
  deny ip any-source 172.16.0.0 0.15.255.255
  deny ip any-source 192.168.0.0 0.0.255.255
  deny ip any-source 224.0.0.0 15.255.255.255
  permit ip 172.16.0.0 0.0.3.255 any-destination
  permit ip 10.0.0.0 0.0.3.255 any-destination
  deny ip any-source any-destination
  exit
 

aaaaa

aaaaa

Posted
  • Author
Posted

Проблема с dhcp, после подключения данных правил к порту, все работает, но если выключить и включить порт deb ip dhcp sn pa на данном порту пустой.

 

SoftWare Version 7.0.3.5(R0102.0138)

 

 

nbo_2_1.2(config-if-ethernet1/0/42)#ip access-group users in
nbo_2_1.2(config-if-ethernet1/0/42)#shu
nbo_2_1.2(config-if-ethernet1/0/42)#%Jan 23 18:08:56 2018 %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/0/42, changed state to DOWN
%Jan 23 18:08:56 2018 %LINK-5-CHANGED: Interface Ethernet1/0/42, changed state to administratively DOWN

nbo_2_1.2(config-if-ethernet1/0/42)#no%Jan 23 18:09:02 2018 DHCPS: rcv packet from client e0-cb-4e-ed-f8-08,
         interface Ethernet1/0/48(portID 0x1000030), length 594,
         type DHCPREQUEST, opcode BOOTREQUEST, stacking 0
%Jan 23 18:09:02 2018 DHCPS: Sending port must be trust port for DHCP request unicast packet
        for dhcp server 00-21-5e-3f-3c-96 in vlan 101
 shu
nbo_2_1.2(config-if-ethernet1/0/42)#%Jan 23 18:09:04 2018 %LINK-5-CHANGED: Interface Ethernet1/0/42, changed state to UP
%Jan 23 18:09:04 2018 %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/0/42, changed state to DOWN

nbo_2_1.2(config-if-ethernet1/0/42)#%Jan 23 18:09:06 2018 %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/0/42, changed state to UP
%Jan 23 18:09:25 2018 DHCPS: rcv packet from client e8-94-f6-af-0f-81,
         interface Ethernet1/0/48(portID 0x1000030), length 594,
         type DHCPREQUEST, opcode BOOTREQUEST, stacking 0
%Jan 23 18:09:25 2018 DHCPS: Sending port must be trust port for DHCP request unicast packet
        for dhcp server 00-21-5e-3f-3c-96 in vlan 101
%Jan 23 18:09:34 2018 DHCPS: rcv packet from client e0-cb-4e-ed-f8-08,
         interface Ethernet1/0/48(portID 0x1000030), length 594,
         type DHCPREQUEST, opcode BOOTREQUEST, stacking 0
%Jan 23 18:09:34 2018 DHCPS: Sending port must be trust port for DHCP request unicast packet
        for dhcp server 00-21-5e-3f-3c-96 in vlan 101
%Jan 23 18:09:50 2018 DHCPS: rcv packet from client e0-cb-4e-ed-f8-08,
         interface Ethernet1/0/48(portID 0x1000030), length 594,
         type DHCPREQUEST, opcode BOOTREQUEST, stacking 0
%Jan 23 18:09:50 2018 DHCPS: Sending port must be trust port for DHCP request unicast packet
        for dhcp server 00-21-5e-3f-3c-96 in vlan 101

nbo_2_1.2(config-if-ethernet1/0/42)#no ip access-group users in
nbo_2_1.2(config-if-ethernet1/0/42)#%Jan 23 18:09:58 2018 DHCPS: rcv packet from client e0-cb-4e-ed-f8-08,
         interface Ethernet1/0/48(portID 0x1000030), length 594,
         type DHCPREQUEST, opcode BOOTREQUEST, stacking 0
%Jan 23 18:09:58 2018 DHCPS: Sending port must be trust port for DHCP request unicast packet
        for dhcp server 00-21-5e-3f-3c-96 in vlan 101
shu
nbo_2_1.2(config-if-ethernet1/0/42)#%Jan 23 18:10:01 2018 %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/0/42, changed state to DOWN
%Jan 23 18:10:01 2018 %LINK-5-CHANGED: Interface Ethernet1/0/42, changed state to administratively DOWN
no shu
nbo_2_1.2(config-if-ethernet1/0/42)#%Jan 23 18:10:06 2018 %LINK-5-CHANGED: Interface Ethernet1/0/42, changed state to UP
%Jan 23 18:10:06 2018 %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/0/42, changed state to DOWN
%Jan 23 18:10:08 2018 %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/0/42, changed state to UP
%Jan 23 18:10:09 2018 DHCPS: parse packet from client c4-6e-1f-90-dd-ff, failed
         interface Ethernet1/0/42(portID 0x100002A), length 594,
         type DHCPRELEASE, opcode BOOTREQUEST, stacking 0
%Jan 23 18:10:09 2018 Port-security has reached the threshold on Interface Ethernet1/0/42, so packets with unknown source addresses are dropped!
%Jan 23 18:10:11 2018 DHCPS: rcv packet from client c4-6e-1f-90-dd-ff,
         interface Ethernet1/0/42(portID 0x100002A), length 594,
         type DHCPDISCOVER, opcode BOOTREQUEST, stacking 0
%Jan 23 18:10:11 2018 DHCPR PACKET: build circuit id with vid <252>, portname <Ethernet1/0/42>
%Jan 23 18:10:11 2018 DHCPR PACKET: rcvd request packet, length <548>,  making our circuit-id <00:06:00:65:01:00:00:2A>, our remote-id <F8:F0:82:73:47:C1>
DHCPR PACKET:receive relay request packet,and enter function fnDhcpRelayRequest().
%Jan 23 18:10:11 2018 DHCPR PACKET: rcvd BOOTPREQUEST from client 1 c4-6e-1f-90-dd-ff on interface Vlan252.

%Jan 23 18:10:11 2018 DHCPR PACKET: inserted an option 82(subscriber-id 00:06:00:65:01:00:00:2A remote-id F8:F0:82:73:47:C1) into this request packet(type:1), new packet length 317
%Jan 23 18:10:11 2018 DHCPR PACKET: unicasting BOOTP-REQUEST from client c4-6e-1f-90-dd-ff to server/relay 10.0.100.253

Victor Tkachenko

Victor Tkachenko

Posted
Posted
18 часов назад, aaaaa сказал:

  deny ip any-source host-destination 255.255.255.255

Данное правило блокирует все ip broadcast пакеты, в том числе и DHCPDISCOVER.

Если стоит задача защититься от штормов и прочего "вредительского" трафика, то проще воспользоваться функционалом strom-control/rate-violation и dhcp snooping user-control.

Если же принципиально необходимо заблокировать весь широковещательный трафик, разрешив служебный (arp, dhcp и т.п.), тогда нужно учесть все необходимые для работы клиентов протоколы в ACL.

pppoetest

pppoetest

Posted
Posted
1 час назад, Victor Tkachenko сказал:

Если же принципиально необходимо заблокировать весь широковещательный трафик, разрешив служебный (arp, dhcp и т.п.)

Будет достаточно

permit udp any-source host-destination 255.255.255.255 d-port 67
deny ip any-source host-destination 255.255.255.255

 

aaaaa

aaaaa

Posted
  • Author
Posted

Правила действительно обрабатываются до dhcp, в отличии от snr 2960 и орионов.

В данном случае проблема была в том, что разрешено с только с

permit ip 172.16.0.0 0.0.3.255 any-destination
permit ip 10.0.0.0 0.0.3.255 any-destination

и нет разрешения для первого запроса без ip:

как указано выше, проблема была решена permit udp any-source host-destination 255.255.255.255 d-port 67

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.