artplanet Опубликовано 17 апреля, 2018 · Жалоба Добрый день, наверно покажусь глупым, но происходит какая то странная магия. Стоит Cisco Nexus 3064, в порт Eth1/32 приходит внешний интернет канал. конфиг порта простой: interface Ethernet1/32 description 1330/1270-uplink switchport access vlan 29 ip access-group testacl in spanning-tree port type edge spanning-tree bpduguard enable spanning-tree bpdufilter enable На порту вешаем ACL: IP access list testacl 10 deny icmp any 185.97.255.225/32 9999 permit ip any any вроде ничего сложного - но железка пропускает icmp пакеты. за Nexus 3064 стоит обычная 7600 - где мы на int vlan 29 вешаем такую же acl - и тогда трафик нормально блочится. А вот nexus ни в какую не хочет. на Nexus включены следующие фьючерсы: feature privilege feature telnet feature tacacs+ feature ospf feature bgp feature pbr feature interface-vlan feature lacp feature dhcp feature lldp feature sflow Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 17 апреля, 2018 · Жалоба А если поменять местами src и dst? Я никогда не мог постичь логику точки отсчета и всегда приходится искать "методом тыка". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
artplanet Опубликовано 17 апреля, 2018 (изменено) · Жалоба не думаю, только что провели еще один тест - если такую ACL применить именно на int vlan на самом nexus - то ACL нормально работает и блочит / пропускает весь трафик в соответствии с ACL. А если ACL вешать на физический порт - то она не работает - как будто ее там нет. так же мы стали смотреть на причину после того - как увидели что не работало правило deny udp any any fragments а тут именно any any сейчас повесили ACL: 20 deny icmp any any трафик icmp все равно пропускается. видимо нужно или какой то фьючер включить чтоб ACL работал на L2 интерфейсах список всех фьючерсов: bash-shell Enable/Disable bash-shell bfd Bfd bgp Enable/Disable Border Gateway Protocol (BGP) catena Enable/Disable catena dhcp Enable/Disable DHCP Manager eigrp Enable/Disable Enhanced Interior Gateway Routing Protocol (EIGRP) evb Enable/Disable Edge Virtual Bridge (EVB) evmed Enable/Disable Generic event detectors hsrp Enable/Disable Hot Standby Router Protocol (HSRP) imp Enable/Disable IMP interface-vlan Enable/Disable interface vlan isis Enable/Disable IS-IS Unicast Routing Protocol (IS-IS) lacp Enable/Disable LACP ldap Enable/Disable ldap lldp Enable/Disable LLDP msdp Enable/Disable Multicast Source Discovery Protocol (MSDP) ntp Enable/Disable NTP nv Enable/Disable VxLAN nxapi Enable/Disable nxapi openflow Enable/Disable OpenFlow agent ospf Enable/Disable Open Shortest Path First Protocol (OSPF) ospfv3 Enable/Disable Open Shortest Path First Version 3 Protocol (OSPFv3) password Credential(s) for the user(s)/device(s) pbr Enable/Disable Policy Based Routing(PBR) pim Enable/Disable Protocol Independent Multicast (PIM) pim6 Enable/Disable Protocol Independent Multicast (PIM) for IPv6 port-security Enable/Disable port-security private-vlan Enable/Disable private-vlan privilege Enable/Disable IOS type privilege level support ptp Enable/Disable PTP rip Enable/Disable Routing Information Protocol (RIP) scheduler Enable/Disable scheduler scp-server Enable/Disable SCP server sflow Enable/Disable sFlow agent sftp-server Enable/Disable SFTP server sla Enable/Disable SLA smart-channel Enable/Disable smart-channel ssh Enable/Disable ssh tacacs+ Enable/Disable tacacs+ telnet Enable/Disable telnet tunnel Enable/Disable Tunnel Manager udld Enable/Disable UDLD vmtracker Enable/Disable VM Tracker feature vn-segment-vlan-based Enable/Disable VLAN based VN segment vpc Enable/Disable VPC (Virtual Port Channel) vrrp Enable/Disable Virtual Router Redundancy Protocol (VRRP) vrrpv3 Enable/Disable Virtual Router Redundancy Protocol (VRRP) version 3 vtp Enable/Disable VTP Изменено 17 апреля, 2018 пользователем artplanet Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ordo Опубликовано 17 апреля, 2018 (изменено) · Жалоба А не ip port access-group ли там случаем для применения IP ACL на l2 интерфейс? Изменено 17 апреля, 2018 пользователем Ordo Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
artplanet Опубликовано 17 апреля, 2018 · Жалоба 3 минуты назад, Ordo сказал: А не ip port access-group ли там случаем для применения IP ACL на l2 интерфейс? спасибо, действительно при использовании такой команды трафик стал блокироваться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
artplanet Опубликовано 17 апреля, 2018 · Жалоба на обычных IOS к которым привык - нет команды ip port - там только ip access-group не ожидал что на Nexus будет по другому, пример из обычного ios: c4948E-F(config)#int gigabitEthernet 1/1 c4948E-F(config-if)#ip ? Interface IP configuration subcommands: access-group Specify access control for packets admission Apply Network Admission Control arp Configure ARP features device IP Device tracking dhcp Configure DHCP parameters for this interface igmp IGMP interface commands rsvp RSVP Interface Commands verify verify в любом случае большое спасибо - а то уже думали acl переносить на 7600 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 17 апреля, 2018 · Жалоба а нексусы уже не обычный IOS там ещё много чего такого "не как обычно" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...