FMA0 Posted September 3, 2021 Posted September 3, 2021 Добрый день. Есть устройство: #sh ver SNR-S300X-24FQ Device, Compiled on Mar 24 17:11:47 2021 sysLocation 78 CPU Mac f8:f0:82:7a:d3:cf Vlan MAC f8:f0:82:7a:d3:ce SoftWare Package Version 7.5.3.2(R0010.0098) BootRom Version 7.5.6 HardWare Version 1.0.1 CPLD Version 1.05 Serial No.:SW080810K821000041 Copyright (C) 2021 NAG LLC All rights reserved Last reboot is cold reset. Uptime is 7 weeks, 2 days, 18 hours, 44 minutes На нём: vlan 68 name bc-43 interface Vlan68 ip address 10.10.68.1 255.255.255.0 mac-ip-access-list extended vacl68 permit any-source-mac any-destination-mac ip 10.10.68.0 0.0.0.255 10.10.68.0 0.0.0.255 deny any-source-mac any-destination-mac tcp 10.10.68.0 0.0.0.255 10.10.10.0 0.0.0.255 syn permit any-source-mac any-destination-mac tcp 10.10.68.0 0.0.0.255 10.10.10.0 0.0.0.255 permit any-source-mac host-destination-mac ff-ff-ff-ff-ff-ff udp any-source any-destination deny any-source-mac any-destination-mac ip any-source any-destination vacl mac-ip access-group vacl68 in traffic-statistic vlan 68 По логике, при такой настройке обитатели сети 10.10.68.0/24 не имеют возможности инициировать tcp-соединение на 10.10.10.0/24, только отвечать на уже установленные, односторонняя связь, по-факту. Схема чудесно работает на SNR-S2990G-24FX, а на S300 - нет. Т.е. из сети 10.10.10.0/24 я не могу соединиться с узлами в 10.10.68.0/24. Не подскажете, может быть это особенности работы именно этого коммутатора? В таком случае, как реализовать желаемое? Вставить ник Quote
Evgeny Mirhasanov Posted September 3, 2021 Posted September 3, 2021 @FMA0 Добрый день. Как только я применил ваш ACL на тестовом 2990, у меня сразу же пропал пинг из подсети 10.10.68.0/24 в 10.10.10.0/24. Т.е., видимо, у вас сейчас не совсем такой ACL на SNR-S2990G-24FX работает. SNR-S2990G-24FX Device, Compiled on Jun 21 14:13:00 2021 sysLocation Building 57/2,Predelnaya st, Ekaterinburg, Russia CPU Mac f8:f0:82:73:ea:49 Vlan MAC f8:f0:82:73:ea:48 SoftWare Version 7.0.3.5(R0102.0316) BootRom Version 7.1.40 HardWare Version 1.0.1 CPLD Version N/A Serial No.:SW041710F522000171 Copyright (C) 2021 NAG LLC All rights reserved Last reboot is cold reset. Uptime is 0 weeks, 0 days, 0 hours, 10 minutes Вставить ник Quote
FMA0 Posted September 4, 2021 Author Posted September 4, 2021 @Evgeny Mirhasanov А в ACL и нет речи про ICMP. (-: Речь исключительно про TCP (ну ладно, там ещё широковещательные UDP разрешены), так что пинга быть и не должно. Сформулирую чётче: нужно разрешить новые TCP соединения из 10.10.10.0/24 в 10.10.68.0/24, но запретить новые TCP-соединения из 10.10.68.0/24 в 10.10.10.0/24, разрешив работу установленных. Вставить ник Quote
Evgeny Mirhasanov Posted September 6, 2021 Posted September 6, 2021 @FMA0 Проверил на стенде ваш VACL на 2990G-24FX с помощью iperf3. С ним тест не начинается ни в сторону 10.10.10.0/24, ни в сторону 10.10.68.0/24, т.е. трафик блокируется вообще, а не только по SYN-флагу. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.