Jump to content
Калькуляторы

SNR-S2960 - настройка ACL на портах доступа

Ранее у меня уже был составлен шаблон конфигурации, но потерялся, никак не нахожу его.

Помогите составить настройку ACL под фильтрацию всего постороннего на абонентских портах:

- разрешить PPPoE (протоколы 0x8863 и 0x8864)

- разрешить IGMP и мультикаст

- блокировать все остальное

Share this post


Link to post
Share on other sites
15 часов назад, alibek сказал:

Ранее у меня уже был составлен шаблон конфигурации, но потерялся, никак не нахожу его.

Помогите составить настройку ACL под фильтрацию всего постороннего на абонентских портах:

- разрешить PPPoE (протоколы 0x8863 и 0x8864)

- разрешить IGMP и мультикаст

- блокировать все остальное

Для решения такой задачи достаточно ACL, разрешающего PPPoE (для multicast есть отдельный тип ACL):

mac-access-list extended pppoe
  permit any-source-mac any-destination-mac ethertype 34915
  permit any-source-mac any-destination-mac ethertype 34916
  deny any-source-mac any-destination-mac
  exit

 

Share this post


Link to post
Share on other sites
38 минут назад, alibek сказал:

А как потом 2 ACL применить одновременно?

Имеете в виду для IGMP? Он не будет попадать под правила mac-access-list. Тем не менее, можно применить на один порт одновременно несколько ACL разных типов.

Share this post


Link to post
Share on other sites

Что такое "Mask of vlan id"?

Это диапазон или двоичная маска?

Например мне нужно задать ACL для диапазона VLAN 400-499, как это указать? vlanid 400 499?

И можно ли задать маску для MAC-адреса? Например я хочу принимать PADO только от устройств 00:30:88:xx:xx:xx, можно ли это указать?

Share this post


Link to post
Share on other sites

@alibek это двоичная обратная маска в десятичном представлении, она должна быть непрерывной. 

Ниже общий для всех вопросов пример:

permit 00:30:88:00:00:00 00:00:00:ff:ff:ff any-destination-mac vlanId 400 511 ethertype 34915


 

Share this post


Link to post
Share on other sites

Спасибо, понятно.

Только что, Ivan Tarasenko сказал:

vlanId 400 511

То есть это выражение соответствует диапазону 400-511?

Share this post


Link to post
Share on other sites
1 час назад, alibek сказал:

То есть это выражение соответствует диапазону 400-511?

Не совсем верную маску для вашего примера дал вам. Ближайший к 400-499 непрерывный диапазон 384-511, следовательно часть правила должна быть "vlanId 400 127".

Share this post


Link to post
Share on other sites
В ‎06‎.‎02‎.‎2019 в 09:03, Ivan Tarasenko сказал:

Он не будет попадать под правила mac-access-list.

Видимо это не так.

Проверяем причину, но пока при использовании указанных ACL перестает работать IPTV.

Share this post


Link to post
Share on other sites
4 часа назад, alibek сказал:

Видимо это не так.

Проверяем причину, но пока при использовании указанных ACL перестает работать IPTV.

Вы используете SNR-S2960-48G или SNR-S2960-24G?

Добавьте правило "permit any-source-mac 01:00:5e:00:00:00 00:00:00:ff:ff:ff".

Share this post


Link to post
Share on other sites

Коллеги, а как можно запретить прием unknow multicast на порту? (cisco-аналог switchport block multicast)

или запретить любой мультикаст

Share this post


Link to post
Share on other sites

 

@Ivan Tarasenko 

sw134#sh ver
  SNR-S2965-8T Device, Compiled on Dec 04 15:45:31 2018
  sysLocation Moscow Gabrichevskogo 5
  CPU Mac f8:f0:82:77:6f:c7
  Vlan MAC f8:f0:82:77:6f:c6
  SoftWare Version 7.0.3.5(R0241.0284)
  BootRom Version 7.2.40
  HardWare Version 1.0.3
  CPLD Version N/A
  Serial No.:SW052610H427000258
  Copyright (C) 2018 NAG LLC
  All rights reserved
  Last reboot is warm reset.
  Uptime is 0 weeks, 0 days, 0 hours, 1 minutes
sw134#

Edited by Ромео

Share this post


Link to post
Share on other sites

@Ромео прямого аналога этой команде нет. При включении "ip igmp snooping vlan", unknown multicast, дропнется в порту источника. При этом можно добавить на нежелательном порту "igmp snooping drop query". 

Также можно использовать "ip multicast source-control" - он запретит весь multicast, для которого на порту не задано разрешающего правила (подробнее тут).

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this