gard Опубликовано 7 апреля, 2021 · Жалоба Друзья, всем привет! Помогите разобраться, есть несколько access-list'ов, в режиме конфигурирования интерфейса делаю так: SNR-S2990X-24FQ(config-if-ethernet1/0/1)#mac access-group 1101 in traffic-statistic Т.е. применяю acces-list на интерфейс, вопрос - как применить скажем 2 access-листа? Есть у меня еще access-list 1102, а применить на интерфейсе получается только что-то одно. И еще вопрос. Команда введена с "traffic-statistic" (можно и без этого). А как теперь эту статистику посмотреть? Разобрался как смотреть статистику: SNR-S2990X-24FQ(config)#sh access-group interface ethernet 1/0/1 interface name:Ethernet1/0/1 MAC Ingress access-list used is 1101, packet(s) number is 16. Rule ID 1 packet(s) number is 16. Остается только первый вопрос. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Evgeny Mirhasanov Опубликовано 7 апреля, 2021 · Жалоба @gard Добрый день. Все верно, можно применить только один MAC-ACL на порт. Вам, грубо говоря, надо создать третий MAC-ACL, который будет включать в себя необходимые правила из 1-го и 2-го ACL. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gard Опубликовано 7 апреля, 2021 · Жалоба Вот оно как выходит. Спасибо за ответ. Тогда следующий вопрос - можно ли как-то удалять отдельные правила из access-list? Чтобы не "выключать" весь лист глобально командой no access-list. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Evgeny Mirhasanov Опубликовано 7 апреля, 2021 · Жалоба @gard К сожалению такой возможности нет. Простенький workaround - копируете ACL из файла конфигурации в текстовый редактор. Правите его там. Удаляете ACL из конфигурации, через ctrl+v вставляете новый из текстового редактора. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gard Опубликовано 7 апреля, 2021 · Жалоба @Evgeny Mirhasanov Разобрался, это можно сделать через mac-access-list extended. Вот, создаю acl под именем mac-acl и добавляю в него правила SNR-S2990X-24FQ(config)#mac-access-list extended mac-acl SNR-S2990X-24FQ(config-mac-ext-nacl-mac-acl)#deny any-source-mac any-destination-mac ethertype 34525 Если нужно удалить - точно также переходим в режим конфигурации acl командой mac-access-list extended mac-acl и удаляем правило через no. SNR-S2990X-24FQ(config)#mac-access-list extended mac-acl SNR-S2990X-24FQ(config-mac-ext-nacl-mac-acl)#no deny any-source-mac any-destination-mac ethertype 34525 Но свитч "помнит" номера удаленных правил и присваивает другим правилам новые ID, вот, правило одно, а его ID двойка, это после удаления/добавления правила один раз. Незнаю на что это в дальнейшем может повлиять. SNR-S2990X-24FQ(config-mac-ext-nacl-mac-acl)#sh access-lists mac-access-list extended mac-acl(used 6 time(s)) 1 rule(s) rule ID 2: deny any-source-mac any-destination-mac ethertype 34525 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Evgeny Mirhasanov Опубликовано 7 апреля, 2021 · Жалоба @gard У вас все равно порядок сменится. Смотрите сами: switch(config)#mac-access-list extended TEST switch(config-mac-ext-nacl-test)#deny 02:12:12:12:12:12 00-00-00-00-00-00 any-destination-mac switch(config-mac-ext-nacl-test)#deny 02:12:12:12:12:13 00-00-00-00-00-00 any-destination-mac switch(config-mac-ext-nacl-test)#deny 02:12:12:12:12:14 00-00-00-00-00-00 any-destination-mac switch(config-mac-ext-nacl-test)# switch(config-mac-ext-nacl-test)#no deny 02:12:12:12:12:13 00-00-00-00-00-00 any-destination-mac switch(config-mac-ext-nacl-test)#deny 02:12:12:12:12:13 00-00-00-00-00-00 any-destination-mac проверяем: mac-access-list extended TEST deny host-source-mac 02-12-12-12-12-12 any-destination-mac deny host-source-mac 02-12-12-12-12-14 any-destination-mac deny host-source-mac 02-12-12-12-12-13 any-destination-mac Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gard Опубликовано 7 апреля, 2021 · Жалоба @Evgeny Mirhasanov Логично, правила добавляются в порядке добавления, сделал как вы, вот первый вывод: mac-access-list extended test(used 0 time(s)) 3 rule(s) rule ID 1: deny host-source-mac 02-12-12-12-12-12 any-destination-mac rule ID 2: deny host-source-mac 02-12-12-12-12-13 any-destination-mac rule ID 3: deny host-source-mac 02-12-12-12-12-14 any-destination-mac Дальше как и вы убрал / добавил 02:12:12:12:12:13 , вот вывод: mac-access-list extended test(used 0 time(s)) 3 rule(s) rule ID 1: deny host-source-mac 02-12-12-12-12-12 any-destination-mac rule ID 3: deny host-source-mac 02-12-12-12-12-14 any-destination-mac rule ID 4: deny host-source-mac 02-12-12-12-12-13 any-destination-mac В общем-то ожидаемое поведение, а ID 2 "пропал". Хотя есть подозрение, что эти ID живут только до перезагрузки свитча, т.к. в running-config это выглядит так: mac-access-list extended test deny host-source-mac 02-12-12-12-12-12 any-destination-mac deny host-source-mac 02-12-12-12-12-14 any-destination-mac deny host-source-mac 02-12-12-12-12-13 any-destination-mac exit Тут никаких идентификаторов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Evgeny Mirhasanov Опубликовано 7 апреля, 2021 · Жалоба @gard ID изменятся, но не порядок правил: switch#sh access-lists TEST The count of total acl has been used is 12. mac-access-list extended TEST(used 0 time(s)) 3 rule(s) rule ID 1: deny host-source-mac 02-12-12-12-12-12 any-destination-mac rule ID 3: deny host-source-mac 02-12-12-12-12-14 any-destination-mac rule ID 4: deny host-source-mac 02-12-12-12-12-13 any-destination-mac reload switch#sh access-lists TEST The count of total acl has been used is 12. mac-access-list extended TEST(used 0 time(s)) 3 rule(s) rule ID 1: deny host-source-mac 02-12-12-12-12-12 any-destination-mac rule ID 2: deny host-source-mac 02-12-12-12-12-14 any-destination-mac rule ID 3: deny host-source-mac 02-12-12-12-12-13 any-destination-mac Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gard Опубликовано 7 апреля, 2021 · Жалоба @Evgeny Mirhasanov Воот.. еще интереснее вышло, свитч загрузится с startup-config, просто по порядку. Логичное поведение. Мне в данном случае порядок не важен, зато стало понятно как менять эти самые правила без удаления access-list'а, который может быть для интерфейса только один (в чем вся и соль как оказалось). Ну и это же не роутер, у которого CPU до сотни прыгает при смене порядка неких правил прохождения пакетами файрвола. А если важен порядок, то конечно уже - копи-паста в блокнот с последующей вставкой обратно. Спасибо! Я все-таки узнал о еще новом функционале. Вот что еще у меня на уме крутится, хотя может быть в этом треде это выстрел в пустоту =) у меня пара предложений для SNR-свитчей, хотя я далекооо не их знаток. 1) Сделать контекстно-зависимую историю команд. Чтобы хистори для интерфейса не смешивалось с глобал конфиг хистори (Орион такое может). 2) Команды сделать унифицированными. Чтобы не было такого как "mac команда" и "mac-команда". Это реально путает. Хотя гуру продукции это все знают, но унификация не помешает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...