Azamat Опубликовано 3 июня, 2021 · Жалоба Всем доброго дня. Плз подскажите, если кто знает, как заставить работать фильтрацию на порту. Вопрос таков: Создан acl для фильтрации igmp сообщений от wi-fi китайщины на портах нексуса. Сначала разрешенный трафик на группы - на всяк случай сделано и по ip и по igmp (не работает ни так, ни так) 10 permit ip 10.10.0.0/16 239.255.1.0/24 [match=0] 11 permit ip 10.10.0.0/16 239.255.2.0/24 [match=0] 12 permit ip 10.10.0.0/16 239.255.3.0/24 [match=0] 13 permit igmp 10.10.0.0/16 239.255.1.0/24 host-report [match=0] 14 permit igmp 10.10.0.0/16 239.255.2.0/24 host-report [match=0] 15 permit igmp 10.10.0.0/16 239.255.3.0/24 host-report [match=0] Запрещаем трафик от китайщины: 99 deny igmp 172.22.0.0/16 224.0.0.0/4 [match=0] 100 deny ip any 239.0.0.0/8 [match=0] 200 permit ip any any [match=16309701] после применения на портах счетчики растут только в 200-ом правиле - permit ip any any Зеркалирование на вышестоящем показывает, что поток всякой ерунды из 172 сети спокойно приходит до него через аплинк. 13:47:50.129083 64:ee:b7:13:cc:d9 > 01:00:5e:00:00:02, ethertype 802.1Q (0x8100), length 60: vlan 970, p 0, ethertype IPv4, 172.22.91.84 > 224.0.0.2: igmp leave 239.255.3.1 13:47:51.628223 64:ee:b7:13:cc:d9 > 01:00:5e:00:00:02, ethertype 802.1Q (0x8100), length 60: vlan 970, p 0, ethertype IPv4, 172.22.91.84 > 224.0.0.2: igmp leave 239.255.1.10 На IOS коммутаторах все это работает норм, даже без дублирования. На нексусе - ни в какую. Плз просветите, если кому ведомо решение/костыль Заранее спасибо и все такое. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 9 июня, 2021 · Жалоба В 03.06.2021 в 10:51, Azamat сказал: после применения на портах счетчики растут только в 200-ом правиле - permit ip any any statistics per-entry надо для ACL указывать, чтобы по каждой строчке статистику считал Порты ни в каких мостах/группах/бондингах не состоят? Покажите show access-list summary Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Azamat Опубликовано 9 июня, 2021 · Жалоба Если не указать statistics в acl - то не будет вообще таких продолжений [match=0]. Я просто не вывел эту строку как само-собой разум. summary: IPV4 ACL i.fake statistics per-entry Total ACEs Configured:6 Configured on interfaces: Ethernet1/25 - ingress (Port ACL) Active on interfaces: Ethernet1/25 - ingress (Port ACL) IPV4 ACL i.fake statistics per-entry 10 deny igmp 172.33.0.0/16 239.255.1.0/24 [match=0] 20 deny igmp 172.33.0.0/16 239.255.2.0/27 [match=0] 30 deny igmp 172.33.0.0/16 239.255.3.0/27 [match=0] 31 deny ip 172.33.0.0/16 239.255.3.0/24 [match=0] 100 permit igmp any any [match=0] 150 permit ip any any [match=93726395] Порты - чистые ethernet в режиме транка. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
reef Опубликовано 9 июня, 2021 · Жалоба полностью, в каком виде ACL и как применен? через - vlan access-map и vlan filter ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Azamat Опубликовано 10 июня, 2021 · Жалоба Чуть выше было - Ethernet1/25 - ingress (Port ACL) Это только в одном случае - ip port access-group .... ко вланам ничего не применялось Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
reef Опубликовано 10 июня, 2021 · Жалоба в случае с транками классический ACL не будет работать, вам нужно смотреть в сторону VACLs https://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus5000/sw/security/521_n1_1/b_5k_Security_Config_521N11/b_5k_Security_Config_521N11_chapter_01000.html#con_1292540 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Azamat Опубликовано 10 июня, 2021 · Жалоба К сожалению, не работает не только на транках, но и на access-ных портах :( Все проверили так/сяк. Только permit Уже думаем, т.к. в 5548 для L3 нужна специальная приблуда, может без нее не видит igmp .. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fork Опубликовано 12 июня, 2021 · Жалоба ACL пробовали только на 5548 ? а на 3K серии? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 12 июня, 2021 · Жалоба У вас, кстати, могли TCAM так переконфигурировать, что на IP ACL ресурсов просто не осталось. Проверьте конфигурацию регионов TCAM Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sdy_moscow Опубликовано 12 июня, 2021 · Жалоба 1 час назад, jffulcrum сказал: У вас, кстати, могли TCAM так переконфигурировать, что на IP ACL ресурсов просто не осталось. Проверьте конфигурацию регионов TCAM Хм... а не скинете ссыль по таким настройкам? Интересно стало. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 13 июня, 2021 · Жалоба Cisco Nexus 5500 Series NX-OS Security Configuration Guide, Release 7.x - Configuring TCAM Carving [Cisco Nexus 5000 Series Switches] - Cisco - вроде оно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sdy_moscow Опубликовано 13 июня, 2021 · Жалоба 8 часов назад, jffulcrum сказал: Cisco Nexus 5500 Series NX-OS Security Configuration Guide, Release 7.x - Configuring TCAM Carving [Cisco Nexus 5000 Series Switches] - Cisco - вроде оно Спасибо! Почитаю на досуге. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Azamat Опубликовано 14 июня, 2021 · Жалоба там один единственный ACL из нескольких правил. Вряд ли бы он как то аффектнул ТСАМ. На 3к пробовали - там странное - в счетчики пакеты попадают, но не дропаются - их видно в "зеркале" на интерфейсе, куда они по логике АСЛ не должны были долетать. На ИОС-ных коммутаторах вообще не было подобной проблемы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...