Перейти к содержимому
Калькуляторы

SNR-S2990X-24FQ, несколько acl на порт

Ответить

gard   

gard
Опубликовано · Жалоба

Друзья, всем привет!

Помогите разобраться, есть несколько access-list'ов, в режиме конфигурирования интерфейса делаю так: 

SNR-S2990X-24FQ(config-if-ethernet1/0/1)#mac access-group 1101 in traffic-statistic

Т.е. применяю acces-list на интерфейс, вопрос - как применить скажем 2 access-листа?

Есть у меня еще access-list 1102, а применить на интерфейсе получается только что-то одно.

 

И еще вопрос. Команда введена с "traffic-statistic" (можно и без этого). А как теперь эту статистику посмотреть?

 

 

Разобрался как смотреть статистику: 

SNR-S2990X-24FQ(config)#sh access-group interface ethernet 1/0/1
interface name:Ethernet1/0/1
    MAC Ingress access-list used is 1101, packet(s) number is 16.
        Rule ID 1 packet(s) number is 16.

Остается только первый вопрос.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Evgeny Mirhasanov   

Evgeny Mirhasanov
Опубликовано · Жалоба

@gard Добрый день. Все верно, можно применить только один MAC-ACL на порт. Вам, грубо говоря, надо создать третий MAC-ACL, который будет включать в себя необходимые правила из 1-го и 2-го ACL.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

gard   

gard
Опубликовано · Жалоба

Вот оно как выходит. Спасибо за ответ.

Тогда следующий вопрос - можно ли как-то удалять отдельные правила из access-list?

Чтобы не "выключать" весь лист глобально командой no access-list.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Evgeny Mirhasanov   

Evgeny Mirhasanov
Опубликовано · Жалоба

@gard К сожалению такой возможности нет. Простенький workaround - копируете ACL из файла конфигурации в текстовый редактор. Правите его там. Удаляете ACL из конфигурации, через ctrl+v вставляете новый из текстового редактора.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

gard   

gard
Опубликовано · Жалоба

@Evgeny Mirhasanov Разобрался, это можно сделать через mac-access-list extended. Вот, создаю acl под именем mac-acl и добавляю в него правила 

SNR-S2990X-24FQ(config)#mac-access-list extended mac-acl
SNR-S2990X-24FQ(config-mac-ext-nacl-mac-acl)#deny any-source-mac any-destination-mac ethertype 34525

Если нужно удалить - точно также переходим в режим конфигурации acl командой mac-access-list extended mac-acl и удаляем правило через no.

  

SNR-S2990X-24FQ(config)#mac-access-list extended mac-acl
SNR-S2990X-24FQ(config-mac-ext-nacl-mac-acl)#no deny any-source-mac any-destination-mac ethertype 34525

Но свитч "помнит" номера удаленных правил и присваивает другим правилам новые ID, вот, правило одно, а его ID двойка, это после удаления/добавления правила один раз. Незнаю на что это в дальнейшем может повлиять. 

SNR-S2990X-24FQ(config-mac-ext-nacl-mac-acl)#sh access-lists
mac-access-list extended mac-acl(used 6 time(s)) 1 rule(s)
   rule ID 2: deny any-source-mac any-destination-mac ethertype 34525

 

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Evgeny Mirhasanov   

Evgeny Mirhasanov
Опубликовано · Жалоба

@gard У вас все равно порядок сменится. Смотрите сами:


  

switch(config)#mac-access-list extended TEST
switch(config-mac-ext-nacl-test)#deny 02:12:12:12:12:12 00-00-00-00-00-00 any-destination-mac
switch(config-mac-ext-nacl-test)#deny 02:12:12:12:12:13 00-00-00-00-00-00 any-destination-mac
switch(config-mac-ext-nacl-test)#deny 02:12:12:12:12:14 00-00-00-00-00-00 any-destination-mac


switch(config-mac-ext-nacl-test)#
switch(config-mac-ext-nacl-test)#no deny 02:12:12:12:12:13 00-00-00-00-00-00 any-destination-mac
switch(config-mac-ext-nacl-test)#deny 02:12:12:12:12:13 00-00-00-00-00-00 any-destination-mac

 

проверяем:

 

mac-access-list extended TEST
  deny host-source-mac 02-12-12-12-12-12 any-destination-mac
  deny host-source-mac 02-12-12-12-12-14 any-destination-mac
  deny host-source-mac 02-12-12-12-12-13 any-destination-mac

 

 

 

 

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

gard   

gard
Опубликовано · Жалоба

@Evgeny Mirhasanov 

Логично, правила добавляются в порядке добавления, сделал как вы, вот первый вывод: 

mac-access-list extended test(used 0 time(s)) 3 rule(s)
   rule ID 1: deny host-source-mac 02-12-12-12-12-12 any-destination-mac
   rule ID 2: deny host-source-mac 02-12-12-12-12-13 any-destination-mac
   rule ID 3: deny host-source-mac 02-12-12-12-12-14 any-destination-mac

Дальше как и вы убрал / добавил 02:12:12:12:12:13 , вот вывод: 

mac-access-list extended test(used 0 time(s)) 3 rule(s)
   rule ID 1: deny host-source-mac 02-12-12-12-12-12 any-destination-mac
   rule ID 3: deny host-source-mac 02-12-12-12-12-14 any-destination-mac
   rule ID 4: deny host-source-mac 02-12-12-12-12-13 any-destination-mac

В общем-то ожидаемое поведение, а ID 2 "пропал". Хотя есть подозрение, что эти ID живут только до перезагрузки свитча, т.к. в running-config это выглядит так: 

mac-access-list extended test
  deny host-source-mac 02-12-12-12-12-12 any-destination-mac
  deny host-source-mac 02-12-12-12-12-14 any-destination-mac
  deny host-source-mac 02-12-12-12-12-13 any-destination-mac
  exit

Тут никаких идентификаторов.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Evgeny Mirhasanov   

Evgeny Mirhasanov
Опубликовано · Жалоба

@gard ID изменятся, но не порядок правил:
  

switch#sh access-lists TEST
The count of total acl has been used is 12.
mac-access-list extended TEST(used 0 time(s)) 3 rule(s)
   rule ID 1: deny host-source-mac 02-12-12-12-12-12 any-destination-mac
   rule ID 3: deny host-source-mac 02-12-12-12-12-14 any-destination-mac
   rule ID 4: deny host-source-mac 02-12-12-12-12-13 any-destination-mac



reload
  

switch#sh access-lists TEST
The count of total acl has been used is 12.
mac-access-list extended TEST(used 0 time(s)) 3 rule(s)
   rule ID 1: deny host-source-mac 02-12-12-12-12-12 any-destination-mac
   rule ID 2: deny host-source-mac 02-12-12-12-12-14 any-destination-mac
   rule ID 3: deny host-source-mac 02-12-12-12-12-13 any-destination-mac

 

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

gard   

gard
Опубликовано · Жалоба

@Evgeny Mirhasanov 

Воот.. еще интереснее вышло, свитч загрузится с startup-config, просто по порядку. Логичное поведение.

Мне в данном случае порядок не важен, зато стало понятно как менять эти самые правила без удаления access-list'а, который может быть для интерфейса только один (в чем вся и соль как оказалось).

Ну и это же не роутер, у которого CPU до сотни прыгает при смене порядка неких правил прохождения пакетами файрвола.

А если важен порядок, то конечно уже - копи-паста в блокнот с последующей вставкой обратно.

 

Спасибо! Я все-таки узнал о еще новом функционале.

 

Вот что еще у меня на уме крутится, хотя может быть в этом треде это выстрел в пустоту =)

у меня пара предложений для SNR-свитчей, хотя я далекооо не их знаток.

1) Сделать контекстно-зависимую историю команд. Чтобы хистори для интерфейса не смешивалось с глобал конфиг хистори (Орион такое может).

2) Команды сделать унифицированными. Чтобы не было такого как "mac команда" и "mac-команда". Это реально путает. Хотя гуру продукции это все знают, но унификация не помешает.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
Подписчики 0
Перейти к списку тем Коммутаторы SNR, коммутаторы Orion Networks