alibek Posted February 5, 2019 · Report post Ранее у меня уже был составлен шаблон конфигурации, но потерялся, никак не нахожу его. Помогите составить настройку ACL под фильтрацию всего постороннего на абонентских портах: - разрешить PPPoE (протоколы 0x8863 и 0x8864) - разрешить IGMP и мультикаст - блокировать все остальное Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan Tarasenko Posted February 6, 2019 · Report post 15 часов назад, alibek сказал: Ранее у меня уже был составлен шаблон конфигурации, но потерялся, никак не нахожу его. Помогите составить настройку ACL под фильтрацию всего постороннего на абонентских портах: - разрешить PPPoE (протоколы 0x8863 и 0x8864) - разрешить IGMP и мультикаст - блокировать все остальное Для решения такой задачи достаточно ACL, разрешающего PPPoE (для multicast есть отдельный тип ACL): mac-access-list extended pppoe permit any-source-mac any-destination-mac ethertype 34915 permit any-source-mac any-destination-mac ethertype 34916 deny any-source-mac any-destination-mac exit Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted February 6, 2019 · Report post А как потом 2 ACL применить одновременно? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan Tarasenko Posted February 6, 2019 · Report post 38 минут назад, alibek сказал: А как потом 2 ACL применить одновременно? Имеете в виду для IGMP? Он не будет попадать под правила mac-access-list. Тем не менее, можно применить на один порт одновременно несколько ACL разных типов. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted February 6, 2019 · Report post Что такое "Mask of vlan id"? Это диапазон или двоичная маска? Например мне нужно задать ACL для диапазона VLAN 400-499, как это указать? vlanid 400 499? И можно ли задать маску для MAC-адреса? Например я хочу принимать PADO только от устройств 00:30:88:xx:xx:xx, можно ли это указать? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan Tarasenko Posted February 6, 2019 · Report post @alibek это двоичная обратная маска в десятичном представлении, она должна быть непрерывной. Ниже общий для всех вопросов пример: permit 00:30:88:00:00:00 00:00:00:ff:ff:ff any-destination-mac vlanId 400 511 ethertype 34915 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted February 6, 2019 · Report post Спасибо, понятно. Только что, Ivan Tarasenko сказал: vlanId 400 511 То есть это выражение соответствует диапазону 400-511? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan Tarasenko Posted February 6, 2019 · Report post 1 час назад, alibek сказал: То есть это выражение соответствует диапазону 400-511? Не совсем верную маску для вашего примера дал вам. Ближайший к 400-499 непрерывный диапазон 384-511, следовательно часть правила должна быть "vlanId 400 127". Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted February 8, 2019 · Report post В 06.02.2019 в 09:03, Ivan Tarasenko сказал: Он не будет попадать под правила mac-access-list. Видимо это не так. Проверяем причину, но пока при использовании указанных ACL перестает работать IPTV. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan Tarasenko Posted February 8, 2019 · Report post 4 часа назад, alibek сказал: Видимо это не так. Проверяем причину, но пока при использовании указанных ACL перестает работать IPTV. Вы используете SNR-S2960-48G или SNR-S2960-24G? Добавьте правило "permit any-source-mac 01:00:5e:00:00:00 00:00:00:ff:ff:ff". Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ромео Posted February 26, 2019 · Report post Коллеги, а как можно запретить прием unknow multicast на порту? (cisco-аналог switchport block multicast) или запретить любой мультикаст Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan Tarasenko Posted February 26, 2019 · Report post @Ромео укажите, пожалуйста, модель коммутатора. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ромео Posted February 26, 2019 (edited) · Report post @Ivan Tarasenko sw134#sh ver SNR-S2965-8T Device, Compiled on Dec 04 15:45:31 2018 sysLocation Moscow Gabrichevskogo 5 CPU Mac f8:f0:82:77:6f:c7 Vlan MAC f8:f0:82:77:6f:c6 SoftWare Version 7.0.3.5(R0241.0284) BootRom Version 7.2.40 HardWare Version 1.0.3 CPLD Version N/A Serial No.:SW052610H427000258 Copyright (C) 2018 NAG LLC All rights reserved Last reboot is warm reset. Uptime is 0 weeks, 0 days, 0 hours, 1 minutes sw134# Edited February 26, 2019 by Ромео Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan Tarasenko Posted February 27, 2019 · Report post @Ромео прямого аналога этой команде нет. При включении "ip igmp snooping vlan", unknown multicast, дропнется в порту источника. При этом можно добавить на нежелательном порту "igmp snooping drop query". Также можно использовать "ip multicast source-control" - он запретит весь multicast, для которого на порту не задано разрешающего правила (подробнее тут). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...