Перейти к содержимому
Калькуляторы

SNR-S2990G-48T firewall

Ответить

aaaaa   

aaaaa
Опубликовано · Жалоба

Добрый день,

 

ниже написанные правила работают на snr s2960, orion alpha a26.

для работы на SNR-S2965-24T работают, если разрешить ARP путем permit any-source-mac any-destination-mac tpid 806 ip any-source any-destination,

что надо сделать на  SNR-S2990G-48T для работы данных правил?

 

ip access-list extended users
  deny ip any-source host-destination 255.255.255.255
  deny ip any-source 10.0.0.0 0.255.255.255
  deny ip any-source 172.16.0.0 0.15.255.255
  deny ip any-source 192.168.0.0 0.0.255.255
  deny ip any-source 224.0.0.0 15.255.255.255
  permit ip 172.16.0.0 0.0.3.255 any-destination
  permit ip 10.0.0.0 0.0.3.255 any-destination
  deny ip any-source any-destination
  exit
 

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Victor Tkachenko   

Victor Tkachenko
Опубликовано · Жалоба

@aaaaa, добрый!

 

Указанный ACL должен успешно создаваться и применяться без каких-либо дополнительных условий, как на S2965-24T так и на S2990G-48T.

Что именно не работает?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

aaaaa   

aaaaa
Опубликовано · Жалоба

Проблема с dhcp, после подключения данных правил к порту, все работает, но если выключить и включить порт deb ip dhcp sn pa на данном порту пустой.

 

SoftWare Version 7.0.3.5(R0102.0138)

 

 

nbo_2_1.2(config-if-ethernet1/0/42)#ip access-group users in
nbo_2_1.2(config-if-ethernet1/0/42)#shu
nbo_2_1.2(config-if-ethernet1/0/42)#%Jan 23 18:08:56 2018 %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/0/42, changed state to DOWN
%Jan 23 18:08:56 2018 %LINK-5-CHANGED: Interface Ethernet1/0/42, changed state to administratively DOWN

nbo_2_1.2(config-if-ethernet1/0/42)#no%Jan 23 18:09:02 2018 DHCPS: rcv packet from client e0-cb-4e-ed-f8-08,
         interface Ethernet1/0/48(portID 0x1000030), length 594,
         type DHCPREQUEST, opcode BOOTREQUEST, stacking 0
%Jan 23 18:09:02 2018 DHCPS: Sending port must be trust port for DHCP request unicast packet
        for dhcp server 00-21-5e-3f-3c-96 in vlan 101
 shu
nbo_2_1.2(config-if-ethernet1/0/42)#%Jan 23 18:09:04 2018 %LINK-5-CHANGED: Interface Ethernet1/0/42, changed state to UP
%Jan 23 18:09:04 2018 %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/0/42, changed state to DOWN

nbo_2_1.2(config-if-ethernet1/0/42)#%Jan 23 18:09:06 2018 %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/0/42, changed state to UP
%Jan 23 18:09:25 2018 DHCPS: rcv packet from client e8-94-f6-af-0f-81,
         interface Ethernet1/0/48(portID 0x1000030), length 594,
         type DHCPREQUEST, opcode BOOTREQUEST, stacking 0
%Jan 23 18:09:25 2018 DHCPS: Sending port must be trust port for DHCP request unicast packet
        for dhcp server 00-21-5e-3f-3c-96 in vlan 101
%Jan 23 18:09:34 2018 DHCPS: rcv packet from client e0-cb-4e-ed-f8-08,
         interface Ethernet1/0/48(portID 0x1000030), length 594,
         type DHCPREQUEST, opcode BOOTREQUEST, stacking 0
%Jan 23 18:09:34 2018 DHCPS: Sending port must be trust port for DHCP request unicast packet
        for dhcp server 00-21-5e-3f-3c-96 in vlan 101
%Jan 23 18:09:50 2018 DHCPS: rcv packet from client e0-cb-4e-ed-f8-08,
         interface Ethernet1/0/48(portID 0x1000030), length 594,
         type DHCPREQUEST, opcode BOOTREQUEST, stacking 0
%Jan 23 18:09:50 2018 DHCPS: Sending port must be trust port for DHCP request unicast packet
        for dhcp server 00-21-5e-3f-3c-96 in vlan 101

nbo_2_1.2(config-if-ethernet1/0/42)#no ip access-group users in
nbo_2_1.2(config-if-ethernet1/0/42)#%Jan 23 18:09:58 2018 DHCPS: rcv packet from client e0-cb-4e-ed-f8-08,
         interface Ethernet1/0/48(portID 0x1000030), length 594,
         type DHCPREQUEST, opcode BOOTREQUEST, stacking 0
%Jan 23 18:09:58 2018 DHCPS: Sending port must be trust port for DHCP request unicast packet
        for dhcp server 00-21-5e-3f-3c-96 in vlan 101
shu
nbo_2_1.2(config-if-ethernet1/0/42)#%Jan 23 18:10:01 2018 %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/0/42, changed state to DOWN
%Jan 23 18:10:01 2018 %LINK-5-CHANGED: Interface Ethernet1/0/42, changed state to administratively DOWN
no shu
nbo_2_1.2(config-if-ethernet1/0/42)#%Jan 23 18:10:06 2018 %LINK-5-CHANGED: Interface Ethernet1/0/42, changed state to UP
%Jan 23 18:10:06 2018 %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/0/42, changed state to DOWN
%Jan 23 18:10:08 2018 %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/0/42, changed state to UP
%Jan 23 18:10:09 2018 DHCPS: parse packet from client c4-6e-1f-90-dd-ff, failed
         interface Ethernet1/0/42(portID 0x100002A), length 594,
         type DHCPRELEASE, opcode BOOTREQUEST, stacking 0
%Jan 23 18:10:09 2018 Port-security has reached the threshold on Interface Ethernet1/0/42, so packets with unknown source addresses are dropped!
%Jan 23 18:10:11 2018 DHCPS: rcv packet from client c4-6e-1f-90-dd-ff,
         interface Ethernet1/0/42(portID 0x100002A), length 594,
         type DHCPDISCOVER, opcode BOOTREQUEST, stacking 0
%Jan 23 18:10:11 2018 DHCPR PACKET: build circuit id with vid <252>, portname <Ethernet1/0/42>
%Jan 23 18:10:11 2018 DHCPR PACKET: rcvd request packet, length <548>,  making our circuit-id <00:06:00:65:01:00:00:2A>, our remote-id <F8:F0:82:73:47:C1>
DHCPR PACKET:receive relay request packet,and enter function fnDhcpRelayRequest().
%Jan 23 18:10:11 2018 DHCPR PACKET: rcvd BOOTPREQUEST from client 1 c4-6e-1f-90-dd-ff on interface Vlan252.

%Jan 23 18:10:11 2018 DHCPR PACKET: inserted an option 82(subscriber-id 00:06:00:65:01:00:00:2A remote-id F8:F0:82:73:47:C1) into this request packet(type:1), new packet length 317
%Jan 23 18:10:11 2018 DHCPR PACKET: unicasting BOOTP-REQUEST from client c4-6e-1f-90-dd-ff to server/relay 10.0.100.253

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Victor Tkachenko   

Victor Tkachenko
Опубликовано · Жалоба
18 часов назад, aaaaa сказал:

  deny ip any-source host-destination 255.255.255.255

Данное правило блокирует все ip broadcast пакеты, в том числе и DHCPDISCOVER.

Если стоит задача защититься от штормов и прочего "вредительского" трафика, то проще воспользоваться функционалом strom-control/rate-violation и dhcp snooping user-control.

Если же принципиально необходимо заблокировать весь широковещательный трафик, разрешив служебный (arp, dhcp и т.п.), тогда нужно учесть все необходимые для работы клиентов протоколы в ACL.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

pppoetest   

pppoetest
Опубликовано · Жалоба
1 час назад, Victor Tkachenko сказал:

Если же принципиально необходимо заблокировать весь широковещательный трафик, разрешив служебный (arp, dhcp и т.п.)

Будет достаточно

permit udp any-source host-destination 255.255.255.255 d-port 67
deny ip any-source host-destination 255.255.255.255

 

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

aaaaa   

aaaaa
Опубликовано · Жалоба

Правила действительно обрабатываются до dhcp, в отличии от snr 2960 и орионов.

В данном случае проблема была в том, что разрешено с только с

permit ip 172.16.0.0 0.0.3.255 any-destination
permit ip 10.0.0.0 0.0.3.255 any-destination

и нет разрешения для первого запроса без ip:

как указано выше, проблема была решена permit udp any-source host-destination 255.255.255.255 d-port 67

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
Перейти к списку тем Активное оборудование Ethernet, IP, MPLS, SDN/NFV...