Jump to content

SNR-S2990X-24FQ, несколько acl на порт

gard
 Share

Recommended Posts

gard

gard

Posted
Posted

Друзья, всем привет!

Помогите разобраться, есть несколько access-list'ов, в режиме конфигурирования интерфейса делаю так: 

SNR-S2990X-24FQ(config-if-ethernet1/0/1)#mac access-group 1101 in traffic-statistic

Т.е. применяю acces-list на интерфейс, вопрос - как применить скажем 2 access-листа?

Есть у меня еще access-list 1102, а применить на интерфейсе получается только что-то одно.

 

И еще вопрос. Команда введена с "traffic-statistic" (можно и без этого). А как теперь эту статистику посмотреть?

 

 

Разобрался как смотреть статистику: 

SNR-S2990X-24FQ(config)#sh access-group interface ethernet 1/0/1
interface name:Ethernet1/0/1
    MAC Ingress access-list used is 1101, packet(s) number is 16.
        Rule ID 1 packet(s) number is 16.

Остается только первый вопрос.

gard

gard

Posted
  • Author
Posted

Вот оно как выходит. Спасибо за ответ.

Тогда следующий вопрос - можно ли как-то удалять отдельные правила из access-list?

Чтобы не "выключать" весь лист глобально командой no access-list.

Evgeny Mirhasanov

Evgeny Mirhasanov

Posted
Posted

@gard К сожалению такой возможности нет. Простенький workaround - копируете ACL из файла конфигурации в текстовый редактор. Правите его там. Удаляете ACL из конфигурации, через ctrl+v вставляете новый из текстового редактора.

gard

gard

Posted
  • Author
Posted

@Evgeny Mirhasanov Разобрался, это можно сделать через mac-access-list extended. Вот, создаю acl под именем mac-acl и добавляю в него правила 

SNR-S2990X-24FQ(config)#mac-access-list extended mac-acl
SNR-S2990X-24FQ(config-mac-ext-nacl-mac-acl)#deny any-source-mac any-destination-mac ethertype 34525

Если нужно удалить - точно также переходим в режим конфигурации acl командой mac-access-list extended mac-acl и удаляем правило через no.

  

SNR-S2990X-24FQ(config)#mac-access-list extended mac-acl
SNR-S2990X-24FQ(config-mac-ext-nacl-mac-acl)#no deny any-source-mac any-destination-mac ethertype 34525

Но свитч "помнит" номера удаленных правил и присваивает другим правилам новые ID, вот, правило одно, а его ID двойка, это после удаления/добавления правила один раз. Незнаю на что это в дальнейшем может повлиять. 

SNR-S2990X-24FQ(config-mac-ext-nacl-mac-acl)#sh access-lists
mac-access-list extended mac-acl(used 6 time(s)) 1 rule(s)
   rule ID 2: deny any-source-mac any-destination-mac ethertype 34525

 

Evgeny Mirhasanov

Evgeny Mirhasanov

Posted
Posted

@gard У вас все равно порядок сменится. Смотрите сами:


  

switch(config)#mac-access-list extended TEST
switch(config-mac-ext-nacl-test)#deny 02:12:12:12:12:12 00-00-00-00-00-00 any-destination-mac
switch(config-mac-ext-nacl-test)#deny 02:12:12:12:12:13 00-00-00-00-00-00 any-destination-mac
switch(config-mac-ext-nacl-test)#deny 02:12:12:12:12:14 00-00-00-00-00-00 any-destination-mac


switch(config-mac-ext-nacl-test)#
switch(config-mac-ext-nacl-test)#no deny 02:12:12:12:12:13 00-00-00-00-00-00 any-destination-mac
switch(config-mac-ext-nacl-test)#deny 02:12:12:12:12:13 00-00-00-00-00-00 any-destination-mac

 

проверяем:

 

mac-access-list extended TEST
  deny host-source-mac 02-12-12-12-12-12 any-destination-mac
  deny host-source-mac 02-12-12-12-12-14 any-destination-mac
  deny host-source-mac 02-12-12-12-12-13 any-destination-mac

 

 

 

 

gard

gard

Posted
  • Author
Posted

@Evgeny Mirhasanov 

Логично, правила добавляются в порядке добавления, сделал как вы, вот первый вывод: 

mac-access-list extended test(used 0 time(s)) 3 rule(s)
   rule ID 1: deny host-source-mac 02-12-12-12-12-12 any-destination-mac
   rule ID 2: deny host-source-mac 02-12-12-12-12-13 any-destination-mac
   rule ID 3: deny host-source-mac 02-12-12-12-12-14 any-destination-mac

Дальше как и вы убрал / добавил 02:12:12:12:12:13 , вот вывод: 

mac-access-list extended test(used 0 time(s)) 3 rule(s)
   rule ID 1: deny host-source-mac 02-12-12-12-12-12 any-destination-mac
   rule ID 3: deny host-source-mac 02-12-12-12-12-14 any-destination-mac
   rule ID 4: deny host-source-mac 02-12-12-12-12-13 any-destination-mac

В общем-то ожидаемое поведение, а ID 2 "пропал". Хотя есть подозрение, что эти ID живут только до перезагрузки свитча, т.к. в running-config это выглядит так: 

mac-access-list extended test
  deny host-source-mac 02-12-12-12-12-12 any-destination-mac
  deny host-source-mac 02-12-12-12-12-14 any-destination-mac
  deny host-source-mac 02-12-12-12-12-13 any-destination-mac
  exit

Тут никаких идентификаторов.

Evgeny Mirhasanov

Evgeny Mirhasanov

Posted
Posted

@gard ID изменятся, но не порядок правил:
  

switch#sh access-lists TEST
The count of total acl has been used is 12.
mac-access-list extended TEST(used 0 time(s)) 3 rule(s)
   rule ID 1: deny host-source-mac 02-12-12-12-12-12 any-destination-mac
   rule ID 3: deny host-source-mac 02-12-12-12-12-14 any-destination-mac
   rule ID 4: deny host-source-mac 02-12-12-12-12-13 any-destination-mac



reload
  

switch#sh access-lists TEST
The count of total acl has been used is 12.
mac-access-list extended TEST(used 0 time(s)) 3 rule(s)
   rule ID 1: deny host-source-mac 02-12-12-12-12-12 any-destination-mac
   rule ID 2: deny host-source-mac 02-12-12-12-12-14 any-destination-mac
   rule ID 3: deny host-source-mac 02-12-12-12-12-13 any-destination-mac

 

gard

gard

Posted
  • Author
Posted

@Evgeny Mirhasanov 

Воот.. еще интереснее вышло, свитч загрузится с startup-config, просто по порядку. Логичное поведение.

Мне в данном случае порядок не важен, зато стало понятно как менять эти самые правила без удаления access-list'а, который может быть для интерфейса только один (в чем вся и соль как оказалось).

Ну и это же не роутер, у которого CPU до сотни прыгает при смене порядка неких правил прохождения пакетами файрвола.

А если важен порядок, то конечно уже - копи-паста в блокнот с последующей вставкой обратно.

 

Спасибо! Я все-таки узнал о еще новом функционале.

 

Вот что еще у меня на уме крутится, хотя может быть в этом треде это выстрел в пустоту =)

у меня пара предложений для SNR-свитчей, хотя я далекооо не их знаток.

1) Сделать контекстно-зависимую историю команд. Чтобы хистори для интерфейса не смешивалось с глобал конфиг хистори (Орион такое может).

2) Команды сделать унифицированными. Чтобы не было такого как "mac команда" и "mac-команда". Это реально путает. Хотя гуру продукции это все знают, но унификация не помешает.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.