artplanet Posted April 17, 2018 · Report post Добрый день, наверно покажусь глупым, но происходит какая то странная магия. Стоит Cisco Nexus 3064, в порт Eth1/32 приходит внешний интернет канал. конфиг порта простой: interface Ethernet1/32 description 1330/1270-uplink switchport access vlan 29 ip access-group testacl in spanning-tree port type edge spanning-tree bpduguard enable spanning-tree bpdufilter enable На порту вешаем ACL: IP access list testacl 10 deny icmp any 185.97.255.225/32 9999 permit ip any any вроде ничего сложного - но железка пропускает icmp пакеты. за Nexus 3064 стоит обычная 7600 - где мы на int vlan 29 вешаем такую же acl - и тогда трафик нормально блочится. А вот nexus ни в какую не хочет. на Nexus включены следующие фьючерсы: feature privilege feature telnet feature tacacs+ feature ospf feature bgp feature pbr feature interface-vlan feature lacp feature dhcp feature lldp feature sflow Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted April 17, 2018 · Report post А если поменять местами src и dst? Я никогда не мог постичь логику точки отсчета и всегда приходится искать "методом тыка". Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
artplanet Posted April 17, 2018 (edited) · Report post не думаю, только что провели еще один тест - если такую ACL применить именно на int vlan на самом nexus - то ACL нормально работает и блочит / пропускает весь трафик в соответствии с ACL. А если ACL вешать на физический порт - то она не работает - как будто ее там нет. так же мы стали смотреть на причину после того - как увидели что не работало правило deny udp any any fragments а тут именно any any сейчас повесили ACL: 20 deny icmp any any трафик icmp все равно пропускается. видимо нужно или какой то фьючер включить чтоб ACL работал на L2 интерфейсах список всех фьючерсов: bash-shell Enable/Disable bash-shell bfd Bfd bgp Enable/Disable Border Gateway Protocol (BGP) catena Enable/Disable catena dhcp Enable/Disable DHCP Manager eigrp Enable/Disable Enhanced Interior Gateway Routing Protocol (EIGRP) evb Enable/Disable Edge Virtual Bridge (EVB) evmed Enable/Disable Generic event detectors hsrp Enable/Disable Hot Standby Router Protocol (HSRP) imp Enable/Disable IMP interface-vlan Enable/Disable interface vlan isis Enable/Disable IS-IS Unicast Routing Protocol (IS-IS) lacp Enable/Disable LACP ldap Enable/Disable ldap lldp Enable/Disable LLDP msdp Enable/Disable Multicast Source Discovery Protocol (MSDP) ntp Enable/Disable NTP nv Enable/Disable VxLAN nxapi Enable/Disable nxapi openflow Enable/Disable OpenFlow agent ospf Enable/Disable Open Shortest Path First Protocol (OSPF) ospfv3 Enable/Disable Open Shortest Path First Version 3 Protocol (OSPFv3) password Credential(s) for the user(s)/device(s) pbr Enable/Disable Policy Based Routing(PBR) pim Enable/Disable Protocol Independent Multicast (PIM) pim6 Enable/Disable Protocol Independent Multicast (PIM) for IPv6 port-security Enable/Disable port-security private-vlan Enable/Disable private-vlan privilege Enable/Disable IOS type privilege level support ptp Enable/Disable PTP rip Enable/Disable Routing Information Protocol (RIP) scheduler Enable/Disable scheduler scp-server Enable/Disable SCP server sflow Enable/Disable sFlow agent sftp-server Enable/Disable SFTP server sla Enable/Disable SLA smart-channel Enable/Disable smart-channel ssh Enable/Disable ssh tacacs+ Enable/Disable tacacs+ telnet Enable/Disable telnet tunnel Enable/Disable Tunnel Manager udld Enable/Disable UDLD vmtracker Enable/Disable VM Tracker feature vn-segment-vlan-based Enable/Disable VLAN based VN segment vpc Enable/Disable VPC (Virtual Port Channel) vrrp Enable/Disable Virtual Router Redundancy Protocol (VRRP) vrrpv3 Enable/Disable Virtual Router Redundancy Protocol (VRRP) version 3 vtp Enable/Disable VTP Edited April 17, 2018 by artplanet Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ordo Posted April 17, 2018 (edited) · Report post А не ip port access-group ли там случаем для применения IP ACL на l2 интерфейс? Edited April 17, 2018 by Ordo Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
artplanet Posted April 17, 2018 · Report post 3 минуты назад, Ordo сказал: А не ip port access-group ли там случаем для применения IP ACL на l2 интерфейс? спасибо, действительно при использовании такой команды трафик стал блокироваться. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
artplanet Posted April 17, 2018 · Report post на обычных IOS к которым привык - нет команды ip port - там только ip access-group не ожидал что на Nexus будет по другому, пример из обычного ios: c4948E-F(config)#int gigabitEthernet 1/1 c4948E-F(config-if)#ip ? Interface IP configuration subcommands: access-group Specify access control for packets admission Apply Network Admission Control arp Configure ARP features device IP Device tracking dhcp Configure DHCP parameters for this interface igmp IGMP interface commands rsvp RSVP Interface Commands verify verify в любом случае большое спасибо - а то уже думали acl переносить на 7600 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
GrandPr1de Posted April 17, 2018 · Report post а нексусы уже не обычный IOS там ещё много чего такого "не как обычно" Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...