aaaaa Опубликовано 23 января, 2018 · Жалоба Добрый день, ниже написанные правила работают на snr s2960, orion alpha a26. для работы на SNR-S2965-24T работают, если разрешить ARP путем permit any-source-mac any-destination-mac tpid 806 ip any-source any-destination, что надо сделать на SNR-S2990G-48T для работы данных правил? ip access-list extended users deny ip any-source host-destination 255.255.255.255 deny ip any-source 10.0.0.0 0.255.255.255 deny ip any-source 172.16.0.0 0.15.255.255 deny ip any-source 192.168.0.0 0.0.255.255 deny ip any-source 224.0.0.0 15.255.255.255 permit ip 172.16.0.0 0.0.3.255 any-destination permit ip 10.0.0.0 0.0.3.255 any-destination deny ip any-source any-destination exit Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Victor Tkachenko Опубликовано 23 января, 2018 · Жалоба @aaaaa, добрый! Указанный ACL должен успешно создаваться и применяться без каких-либо дополнительных условий, как на S2965-24T так и на S2990G-48T. Что именно не работает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
aaaaa Опубликовано 23 января, 2018 · Жалоба Проблема с dhcp, после подключения данных правил к порту, все работает, но если выключить и включить порт deb ip dhcp sn pa на данном порту пустой. SoftWare Version 7.0.3.5(R0102.0138) nbo_2_1.2(config-if-ethernet1/0/42)#ip access-group users in nbo_2_1.2(config-if-ethernet1/0/42)#shu nbo_2_1.2(config-if-ethernet1/0/42)#%Jan 23 18:08:56 2018 %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/0/42, changed state to DOWN %Jan 23 18:08:56 2018 %LINK-5-CHANGED: Interface Ethernet1/0/42, changed state to administratively DOWN nbo_2_1.2(config-if-ethernet1/0/42)#no%Jan 23 18:09:02 2018 DHCPS: rcv packet from client e0-cb-4e-ed-f8-08, interface Ethernet1/0/48(portID 0x1000030), length 594, type DHCPREQUEST, opcode BOOTREQUEST, stacking 0 %Jan 23 18:09:02 2018 DHCPS: Sending port must be trust port for DHCP request unicast packet for dhcp server 00-21-5e-3f-3c-96 in vlan 101 shu nbo_2_1.2(config-if-ethernet1/0/42)#%Jan 23 18:09:04 2018 %LINK-5-CHANGED: Interface Ethernet1/0/42, changed state to UP %Jan 23 18:09:04 2018 %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/0/42, changed state to DOWN nbo_2_1.2(config-if-ethernet1/0/42)#%Jan 23 18:09:06 2018 %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/0/42, changed state to UP %Jan 23 18:09:25 2018 DHCPS: rcv packet from client e8-94-f6-af-0f-81, interface Ethernet1/0/48(portID 0x1000030), length 594, type DHCPREQUEST, opcode BOOTREQUEST, stacking 0 %Jan 23 18:09:25 2018 DHCPS: Sending port must be trust port for DHCP request unicast packet for dhcp server 00-21-5e-3f-3c-96 in vlan 101 %Jan 23 18:09:34 2018 DHCPS: rcv packet from client e0-cb-4e-ed-f8-08, interface Ethernet1/0/48(portID 0x1000030), length 594, type DHCPREQUEST, opcode BOOTREQUEST, stacking 0 %Jan 23 18:09:34 2018 DHCPS: Sending port must be trust port for DHCP request unicast packet for dhcp server 00-21-5e-3f-3c-96 in vlan 101 %Jan 23 18:09:50 2018 DHCPS: rcv packet from client e0-cb-4e-ed-f8-08, interface Ethernet1/0/48(portID 0x1000030), length 594, type DHCPREQUEST, opcode BOOTREQUEST, stacking 0 %Jan 23 18:09:50 2018 DHCPS: Sending port must be trust port for DHCP request unicast packet for dhcp server 00-21-5e-3f-3c-96 in vlan 101 nbo_2_1.2(config-if-ethernet1/0/42)#no ip access-group users in nbo_2_1.2(config-if-ethernet1/0/42)#%Jan 23 18:09:58 2018 DHCPS: rcv packet from client e0-cb-4e-ed-f8-08, interface Ethernet1/0/48(portID 0x1000030), length 594, type DHCPREQUEST, opcode BOOTREQUEST, stacking 0 %Jan 23 18:09:58 2018 DHCPS: Sending port must be trust port for DHCP request unicast packet for dhcp server 00-21-5e-3f-3c-96 in vlan 101 shu nbo_2_1.2(config-if-ethernet1/0/42)#%Jan 23 18:10:01 2018 %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/0/42, changed state to DOWN %Jan 23 18:10:01 2018 %LINK-5-CHANGED: Interface Ethernet1/0/42, changed state to administratively DOWN no shu nbo_2_1.2(config-if-ethernet1/0/42)#%Jan 23 18:10:06 2018 %LINK-5-CHANGED: Interface Ethernet1/0/42, changed state to UP %Jan 23 18:10:06 2018 %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/0/42, changed state to DOWN %Jan 23 18:10:08 2018 %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/0/42, changed state to UP %Jan 23 18:10:09 2018 DHCPS: parse packet from client c4-6e-1f-90-dd-ff, failed interface Ethernet1/0/42(portID 0x100002A), length 594, type DHCPRELEASE, opcode BOOTREQUEST, stacking 0 %Jan 23 18:10:09 2018 Port-security has reached the threshold on Interface Ethernet1/0/42, so packets with unknown source addresses are dropped! %Jan 23 18:10:11 2018 DHCPS: rcv packet from client c4-6e-1f-90-dd-ff, interface Ethernet1/0/42(portID 0x100002A), length 594, type DHCPDISCOVER, opcode BOOTREQUEST, stacking 0 %Jan 23 18:10:11 2018 DHCPR PACKET: build circuit id with vid <252>, portname <Ethernet1/0/42> %Jan 23 18:10:11 2018 DHCPR PACKET: rcvd request packet, length <548>, making our circuit-id <00:06:00:65:01:00:00:2A>, our remote-id <F8:F0:82:73:47:C1> DHCPR PACKET:receive relay request packet,and enter function fnDhcpRelayRequest(). %Jan 23 18:10:11 2018 DHCPR PACKET: rcvd BOOTPREQUEST from client 1 c4-6e-1f-90-dd-ff on interface Vlan252. %Jan 23 18:10:11 2018 DHCPR PACKET: inserted an option 82(subscriber-id 00:06:00:65:01:00:00:2A remote-id F8:F0:82:73:47:C1) into this request packet(type:1), new packet length 317 %Jan 23 18:10:11 2018 DHCPR PACKET: unicasting BOOTP-REQUEST from client c4-6e-1f-90-dd-ff to server/relay 10.0.100.253 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Victor Tkachenko Опубликовано 24 января, 2018 · Жалоба 18 часов назад, aaaaa сказал: deny ip any-source host-destination 255.255.255.255 Данное правило блокирует все ip broadcast пакеты, в том числе и DHCPDISCOVER. Если стоит задача защититься от штормов и прочего "вредительского" трафика, то проще воспользоваться функционалом strom-control/rate-violation и dhcp snooping user-control. Если же принципиально необходимо заблокировать весь широковещательный трафик, разрешив служебный (arp, dhcp и т.п.), тогда нужно учесть все необходимые для работы клиентов протоколы в ACL. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 24 января, 2018 · Жалоба 1 час назад, Victor Tkachenko сказал: Если же принципиально необходимо заблокировать весь широковещательный трафик, разрешив служебный (arp, dhcp и т.п.) Будет достаточно permit udp any-source host-destination 255.255.255.255 d-port 67 deny ip any-source host-destination 255.255.255.255 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
aaaaa Опубликовано 24 января, 2018 · Жалоба Правила действительно обрабатываются до dhcp, в отличии от snr 2960 и орионов. В данном случае проблема была в том, что разрешено с только с permit ip 172.16.0.0 0.0.3.255 any-destinationpermit ip 10.0.0.0 0.0.3.255 any-destination и нет разрешения для первого запроса без ip: как указано выше, проблема была решена permit udp any-source host-destination 255.255.255.255 d-port 67 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...