SNR-S2960 - настройка ACL на портах доступа

[alibek]

Ранее у меня уже был составлен шаблон конфигурации, но потерялся, никак не нахожу его.

Помогите составить настройку ACL под фильтрацию всего постороннего на абонентских портах:

- разрешить PPPoE (протоколы 0x8863 и 0x8864)

- разрешить IGMP и мультикаст

- блокировать все остальное

[Ivan Tarasenko]

15 часов назад, alibek сказал:

Ранее у меня уже был составлен шаблон конфигурации, но потерялся, никак не нахожу его.

Помогите составить настройку ACL под фильтрацию всего постороннего на абонентских портах:

- разрешить PPPoE (протоколы 0x8863 и 0x8864)

- разрешить IGMP и мультикаст

- блокировать все остальное

Для решения такой задачи достаточно ACL, разрешающего PPPoE (для multicast есть отдельный тип ACL):

mac-access-list extended pppoe
  permit any-source-mac any-destination-mac ethertype 34915
  permit any-source-mac any-destination-mac ethertype 34916
  deny any-source-mac any-destination-mac
  exit

 

[alibek]

А как потом 2 ACL применить одновременно?

[Ivan Tarasenko]

38 минут назад, alibek сказал:

А как потом 2 ACL применить одновременно?

Имеете в виду для IGMP? Он не будет попадать под правила mac-access-list. Тем не менее, можно применить на один порт одновременно несколько ACL разных типов.

[alibek]

Что такое "Mask of vlan id"?

Это диапазон или двоичная маска?

Например мне нужно задать ACL для диапазона VLAN 400-499, как это указать? vlanid 400 499?

И можно ли задать маску для MAC-адреса? Например я хочу принимать PADO только от устройств 00:30:88:xx:xx:xx, можно ли это указать?

[Ivan Tarasenko]

@alibek это двоичная обратная маска в десятичном представлении, она должна быть непрерывной. 

Ниже общий для всех вопросов пример:

permit 00:30:88:00:00:00 00:00:00:ff:ff:ff any-destination-mac vlanId 400 511 ethertype 34915

 

[alibek]

Спасибо, понятно.

Только что, Ivan Tarasenko сказал:

vlanId 400 511

То есть это выражение соответствует диапазону 400-511?

[Ivan Tarasenko]

1 час назад, alibek сказал:

То есть это выражение соответствует диапазону 400-511?

Не совсем верную маску для вашего примера дал вам. Ближайший к 400-499 непрерывный диапазон 384-511, следовательно часть правила должна быть "vlanId 400 127".

[alibek]

В ‎06‎.‎02‎.‎2019 в 09:03, Ivan Tarasenko сказал:

Он не будет попадать под правила mac-access-list.

Видимо это не так.

Проверяем причину, но пока при использовании указанных ACL перестает работать IPTV.

[Ivan Tarasenko]

4 часа назад, alibek сказал:

Видимо это не так.

Проверяем причину, но пока при использовании указанных ACL перестает работать IPTV.

Вы используете SNR-S2960-48G или SNR-S2960-24G?

Добавьте правило "permit any-source-mac 01:00:5e:00:00:00 00:00:00:ff:ff:ff".

[Ромео]

Коллеги, а как можно запретить прием unknow multicast на порту? (cisco-аналог switchport block multicast)

или запретить любой мультикаст

[Ivan Tarasenko]

@Ромео укажите, пожалуйста, модель коммутатора.

[Ромео]

 

@Ivan Tarasenko 

sw134#sh ver
  SNR-S2965-8T Device, Compiled on Dec 04 15:45:31 2018
  sysLocation Moscow Gabrichevskogo 5
  CPU Mac f8:f0:82:77:6f:c7
  Vlan MAC f8:f0:82:77:6f:c6
  SoftWare Version 7.0.3.5(R0241.0284)
  BootRom Version 7.2.40
  HardWare Version 1.0.3
  CPLD Version N/A
  Serial No.:SW052610H427000258
  Copyright (C) 2018 NAG LLC
  All rights reserved
  Last reboot is warm reset.
  Uptime is 0 weeks, 0 days, 0 hours, 1 minutes
sw134#

Edited February 26, 2019 by Ромео

[Ivan Tarasenko]

@Ромео прямого аналога этой команде нет. При включении "ip igmp snooping vlan", unknown multicast, дропнется в порту источника. При этом можно добавить на нежелательном порту "igmp snooping drop query". 

Также можно использовать "ip multicast source-control" - он запретит весь multicast, для которого на порту не задано разрешающего правила (подробнее тут).