Перейти к содержимому
Калькуляторы

Nexus 3k/5k - не работает acl на eth порту (возможно, специфика ?)

Всем доброго дня.

Плз подскажите, если кто знает, как заставить работать фильтрацию на порту.

 

Вопрос таков:

Создан acl для фильтрации igmp сообщений от wi-fi китайщины на портах нексуса.

 

Сначала разрешенный трафик на группы - на всяк случай сделано и по ip и по igmp (не работает ни так, ни так)

       10 permit ip 10.10.0.0/16 239.255.1.0/24 [match=0] 

        11 permit ip 10.10.0.0/16 239.255.2.0/24 [match=0] 
        12 permit ip 10.10.0.0/16 239.255.3.0/24 [match=0] 
        13 permit igmp 10.10.0.0/16 239.255.1.0/24 host-report [match=0] 
        14 permit igmp 10.10.0.0/16 239.255.2.0/24 host-report [match=0] 
        15 permit igmp 10.10.0.0/16 239.255.3.0/24 host-report [match=0] 

 

Запрещаем трафик от китайщины:

        99 deny igmp 172.22.0.0/16 224.0.0.0/4 [match=0] 
        100 deny ip any 239.0.0.0/8 [match=0] 
        200 permit ip any any [match=16309701] 
 

после применения на портах счетчики растут только в 200-ом правиле - permit ip any any

 

Зеркалирование на вышестоящем показывает, что поток всякой ерунды из 172 сети спокойно приходит до него через аплинк. 

13:47:50.129083 64:ee:b7:13:cc:d9 > 01:00:5e:00:00:02, ethertype 802.1Q (0x8100), length 60: vlan 970, p 0, ethertype IPv4, 172.22.91.84 > 224.0.0.2: igmp leave 239.255.3.1
13:47:51.628223 64:ee:b7:13:cc:d9 > 01:00:5e:00:00:02, ethertype 802.1Q (0x8100), length 60: vlan 970, p 0, ethertype IPv4, 172.22.91.84 > 224.0.0.2: igmp leave 239.255.1.10
 

На IOS коммутаторах все это работает норм, даже без дублирования. На нексусе - ни в какую.

 

Плз просветите, если кому ведомо решение/костыль

 

Заранее спасибо и все такое.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 03.06.2021 в 10:51, Azamat сказал:

после применения на портах счетчики растут только в 200-ом правиле - permit ip any any

 statistics per-entry надо для ACL указывать, чтобы по каждой строчке статистику считал

 

Порты ни в каких мостах/группах/бондингах не состоят? Покажите show access-list summary

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если не указать statistics в acl - то не будет  вообще таких продолжений [match=0]. Я просто не вывел эту строку как само-собой разум.

 

summary:

IPV4 ACL i.fake
        statistics per-entry
        Total ACEs Configured:6
        Configured on interfaces:
                Ethernet1/25 - ingress (Port ACL)
        Active on interfaces:
                Ethernet1/25 - ingress (Port ACL)

 

 

IPV4 ACL i.fake
        statistics per-entry
        10 deny igmp 172.33.0.0/16 239.255.1.0/24 [match=0]
        20 deny igmp 172.33.0.0/16 239.255.2.0/27 [match=0]
        30 deny igmp 172.33.0.0/16 239.255.3.0/27 [match=0]
        31 deny ip 172.33.0.0/16 239.255.3.0/24 [match=0]
        100 permit igmp any any [match=0]
        150 permit ip any any [match=93726395]
 

 

Порты - чистые ethernet в режиме транка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

полностью, в каком виде ACL и как применен?

через - vlan access-map

и vlan filter ?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Чуть выше было - Ethernet1/25 - ingress (Port ACL)

Это только в одном случае - ip port access-group ....

 

ко вланам ничего не применялось

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

в случае с транками классический ACL не будет работать, вам нужно смотреть в сторону VACLs

https://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus5000/sw/security/521_n1_1/b_5k_Security_Config_521N11/b_5k_Security_Config_521N11_chapter_01000.html#con_1292540

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

К сожалению, не работает не только на транках, но и на access-ных портах :(

Все проверили так/сяк.  Только permit

Уже думаем, т.к.  в 5548 для L3 нужна специальная приблуда, может без нее не видит igmp ..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У вас, кстати, могли TCAM так переконфигурировать, что на IP ACL ресурсов просто не осталось. Проверьте конфигурацию регионов TCAM

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, jffulcrum сказал:

У вас, кстати, могли TCAM так переконфигурировать, что на IP ACL ресурсов просто не осталось. Проверьте конфигурацию регионов TCAM

 Хм... а не скинете ссыль по таким настройкам? Интересно стало.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

8 часов назад, jffulcrum сказал:

Спасибо! Почитаю на досуге.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

там один единственный ACL из нескольких правил. Вряд ли бы он как то аффектнул ТСАМ.

 

На 3к пробовали - там странное - в счетчики пакеты попадают, но не дропаются - их видно в "зеркале" на интерфейсе, куда они по логике АСЛ не должны были долетать. На ИОС-ных коммутаторах вообще не было подобной проблемы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.