Azamat Posted June 3, 2021 Posted June 3, 2021 Всем доброго дня. Плз подскажите, если кто знает, как заставить работать фильтрацию на порту. Вопрос таков: Создан acl для фильтрации igmp сообщений от wi-fi китайщины на портах нексуса. Сначала разрешенный трафик на группы - на всяк случай сделано и по ip и по igmp (не работает ни так, ни так) 10 permit ip 10.10.0.0/16 239.255.1.0/24 [match=0] 11 permit ip 10.10.0.0/16 239.255.2.0/24 [match=0] 12 permit ip 10.10.0.0/16 239.255.3.0/24 [match=0] 13 permit igmp 10.10.0.0/16 239.255.1.0/24 host-report [match=0] 14 permit igmp 10.10.0.0/16 239.255.2.0/24 host-report [match=0] 15 permit igmp 10.10.0.0/16 239.255.3.0/24 host-report [match=0] Запрещаем трафик от китайщины: 99 deny igmp 172.22.0.0/16 224.0.0.0/4 [match=0] 100 deny ip any 239.0.0.0/8 [match=0] 200 permit ip any any [match=16309701] после применения на портах счетчики растут только в 200-ом правиле - permit ip any any Зеркалирование на вышестоящем показывает, что поток всякой ерунды из 172 сети спокойно приходит до него через аплинк. 13:47:50.129083 64:ee:b7:13:cc:d9 > 01:00:5e:00:00:02, ethertype 802.1Q (0x8100), length 60: vlan 970, p 0, ethertype IPv4, 172.22.91.84 > 224.0.0.2: igmp leave 239.255.3.1 13:47:51.628223 64:ee:b7:13:cc:d9 > 01:00:5e:00:00:02, ethertype 802.1Q (0x8100), length 60: vlan 970, p 0, ethertype IPv4, 172.22.91.84 > 224.0.0.2: igmp leave 239.255.1.10 На IOS коммутаторах все это работает норм, даже без дублирования. На нексусе - ни в какую. Плз просветите, если кому ведомо решение/костыль Заранее спасибо и все такое. Вставить ник Quote
jffulcrum Posted June 9, 2021 Posted June 9, 2021 В 03.06.2021 в 10:51, Azamat сказал: после применения на портах счетчики растут только в 200-ом правиле - permit ip any any statistics per-entry надо для ACL указывать, чтобы по каждой строчке статистику считал Порты ни в каких мостах/группах/бондингах не состоят? Покажите show access-list summary Вставить ник Quote
Azamat Posted June 9, 2021 Author Posted June 9, 2021 Если не указать statistics в acl - то не будет вообще таких продолжений [match=0]. Я просто не вывел эту строку как само-собой разум. summary: IPV4 ACL i.fake statistics per-entry Total ACEs Configured:6 Configured on interfaces: Ethernet1/25 - ingress (Port ACL) Active on interfaces: Ethernet1/25 - ingress (Port ACL) IPV4 ACL i.fake statistics per-entry 10 deny igmp 172.33.0.0/16 239.255.1.0/24 [match=0] 20 deny igmp 172.33.0.0/16 239.255.2.0/27 [match=0] 30 deny igmp 172.33.0.0/16 239.255.3.0/27 [match=0] 31 deny ip 172.33.0.0/16 239.255.3.0/24 [match=0] 100 permit igmp any any [match=0] 150 permit ip any any [match=93726395] Порты - чистые ethernet в режиме транка. Вставить ник Quote
reef Posted June 9, 2021 Posted June 9, 2021 полностью, в каком виде ACL и как применен? через - vlan access-map и vlan filter ? Вставить ник Quote
Azamat Posted June 10, 2021 Author Posted June 10, 2021 Чуть выше было - Ethernet1/25 - ingress (Port ACL) Это только в одном случае - ip port access-group .... ко вланам ничего не применялось Вставить ник Quote
reef Posted June 10, 2021 Posted June 10, 2021 в случае с транками классический ACL не будет работать, вам нужно смотреть в сторону VACLs https://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus5000/sw/security/521_n1_1/b_5k_Security_Config_521N11/b_5k_Security_Config_521N11_chapter_01000.html#con_1292540 Вставить ник Quote
Azamat Posted June 10, 2021 Author Posted June 10, 2021 К сожалению, не работает не только на транках, но и на access-ных портах :( Все проверили так/сяк. Только permit Уже думаем, т.к. в 5548 для L3 нужна специальная приблуда, может без нее не видит igmp .. Вставить ник Quote
fork Posted June 12, 2021 Posted June 12, 2021 ACL пробовали только на 5548 ? а на 3K серии? Вставить ник Quote
jffulcrum Posted June 12, 2021 Posted June 12, 2021 У вас, кстати, могли TCAM так переконфигурировать, что на IP ACL ресурсов просто не осталось. Проверьте конфигурацию регионов TCAM Вставить ник Quote
sdy_moscow Posted June 12, 2021 Posted June 12, 2021 1 час назад, jffulcrum сказал: У вас, кстати, могли TCAM так переконфигурировать, что на IP ACL ресурсов просто не осталось. Проверьте конфигурацию регионов TCAM Хм... а не скинете ссыль по таким настройкам? Интересно стало. Вставить ник Quote
jffulcrum Posted June 13, 2021 Posted June 13, 2021 Cisco Nexus 5500 Series NX-OS Security Configuration Guide, Release 7.x - Configuring TCAM Carving [Cisco Nexus 5000 Series Switches] - Cisco - вроде оно Вставить ник Quote
sdy_moscow Posted June 13, 2021 Posted June 13, 2021 8 часов назад, jffulcrum сказал: Cisco Nexus 5500 Series NX-OS Security Configuration Guide, Release 7.x - Configuring TCAM Carving [Cisco Nexus 5000 Series Switches] - Cisco - вроде оно Спасибо! Почитаю на досуге. Вставить ник Quote
Azamat Posted June 14, 2021 Author Posted June 14, 2021 там один единственный ACL из нескольких правил. Вряд ли бы он как то аффектнул ТСАМ. На 3к пробовали - там странное - в счетчики пакеты попадают, но не дропаются - их видно в "зеркале" на интерфейсе, куда они по логике АСЛ не должны были долетать. На ИОС-ных коммутаторах вообще не было подобной проблемы. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.