Перейти к содержимому
Калькуляторы

Cisco Nexus 3000 + ALC + лыжи не едут

Добрый день, наверно покажусь глупым, но происходит какая то странная магия.

Стоит Cisco Nexus 3064, в порт Eth1/32 приходит внешний интернет канал.

конфиг порта простой:


interface Ethernet1/32
  description 1330/1270-uplink
  switchport access vlan 29
  ip access-group testacl in
  spanning-tree port type edge
  spanning-tree bpduguard enable
  spanning-tree bpdufilter enable

 

На порту вешаем ACL:


IP access list testacl
        10 deny icmp any 185.97.255.225/32 
        9999 permit ip any any 

 

вроде ничего сложного - но железка пропускает icmp пакеты.

за Nexus 3064 стоит обычная 7600 - где мы на int vlan 29 вешаем такую же acl - и тогда трафик нормально блочится. А вот nexus ни в какую не хочет.

на Nexus включены следующие фьючерсы:


feature privilege
feature telnet
feature tacacs+
feature ospf
feature bgp
feature pbr
feature interface-vlan
feature lacp
feature dhcp
feature lldp
feature sflow

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А если поменять местами src и dst?

Я никогда не мог постичь логику точки отсчета и всегда приходится искать "методом тыка".

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

не думаю, только что провели еще один тест - если такую ACL применить именно на int vlan на самом nexus - то ACL нормально работает и блочит / пропускает весь трафик в соответствии с ACL.

А если ACL вешать на физический порт - то она не работает - как будто ее там нет.

 

так же мы стали смотреть на причину после того - как увидели что не работало правило


deny udp any any fragments 

а тут именно any any

 

сейчас повесили ACL:


        20 deny icmp any any 

 

трафик icmp все равно пропускается. 

видимо нужно или какой то фьючер включить чтоб ACL работал на L2 интерфейсах

 

список всех фьючерсов:


  bash-shell             Enable/Disable bash-shell
  bfd                    Bfd
  bgp                    Enable/Disable Border Gateway Protocol (BGP)
  catena                 Enable/Disable catena
  dhcp                   Enable/Disable DHCP Manager
  eigrp                  Enable/Disable Enhanced Interior Gateway Routing Protocol (EIGRP)
  evb                    Enable/Disable Edge Virtual Bridge (EVB)
  evmed                  Enable/Disable Generic event detectors
  hsrp                   Enable/Disable Hot Standby Router Protocol (HSRP)
  imp                    Enable/Disable IMP
  interface-vlan         Enable/Disable interface vlan
  isis                   Enable/Disable IS-IS Unicast Routing Protocol (IS-IS)
  lacp                   Enable/Disable LACP
  ldap                   Enable/Disable ldap
  lldp                   Enable/Disable LLDP
  msdp                   Enable/Disable Multicast Source Discovery Protocol (MSDP)
  ntp                    Enable/Disable NTP
  nv                     Enable/Disable VxLAN
  nxapi                  Enable/Disable nxapi
  openflow               Enable/Disable OpenFlow agent
  ospf                   Enable/Disable Open Shortest Path First Protocol (OSPF)
  ospfv3                 Enable/Disable Open Shortest Path First Version 3 Protocol (OSPFv3)
  password               Credential(s) for the user(s)/device(s)
  pbr                    Enable/Disable Policy Based Routing(PBR)
  pim                    Enable/Disable Protocol Independent Multicast (PIM)
  pim6                   Enable/Disable Protocol Independent Multicast (PIM) for IPv6
  port-security          Enable/Disable port-security
  private-vlan           Enable/Disable private-vlan
  privilege              Enable/Disable IOS type privilege level support
  ptp                    Enable/Disable PTP
  rip                    Enable/Disable Routing Information Protocol (RIP)
  scheduler              Enable/Disable scheduler
  scp-server             Enable/Disable SCP server
  sflow                  Enable/Disable sFlow agent
  sftp-server            Enable/Disable SFTP server
  sla                    Enable/Disable SLA
  smart-channel          Enable/Disable smart-channel
  ssh                    Enable/Disable ssh
  tacacs+                Enable/Disable tacacs+
  telnet                 Enable/Disable telnet
  tunnel                 Enable/Disable Tunnel Manager
  udld                   Enable/Disable UDLD
  vmtracker              Enable/Disable VM Tracker feature
  vn-segment-vlan-based  Enable/Disable VLAN based VN segment
  vpc                    Enable/Disable VPC (Virtual Port Channel)
  vrrp                   Enable/Disable Virtual Router Redundancy Protocol (VRRP)
  vrrpv3                 Enable/Disable Virtual Router Redundancy Protocol (VRRP) version 3
  vtp                    Enable/Disable VTP

Изменено пользователем artplanet

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А не ip port access-group ли там случаем для применения IP ACL на l2 интерфейс?

Изменено пользователем Ordo

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
3 минуты назад, Ordo сказал:

А не ip port access-group ли там случаем для применения IP ACL на l2 интерфейс?

 

спасибо, действительно при использовании такой команды трафик стал блокироваться.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

на обычных IOS к которым привык - нет команды ip port - там только ip access-group

не ожидал что на Nexus будет по другому,   пример из обычного ios:

 


c4948E-F(config)#int gigabitEthernet 1/1
c4948E-F(config-if)#ip ?
Interface IP configuration subcommands:
  access-group  Specify access control for packets
  admission     Apply Network Admission Control
  arp           Configure ARP features
  device        IP Device tracking
  dhcp          Configure DHCP parameters for this interface
  igmp          IGMP interface commands
  rsvp          RSVP Interface Commands
  verify        verify

 

 

в любом случае большое спасибо - а то уже думали acl переносить на 7600

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а нексусы уже не обычный IOS

там ещё много чего такого "не как обычно"

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас