Перейти к содержимому
Калькуляторы

SNR-S300X-24FQ Firewall

Ответить

FMA0   

FMA0
Опубликовано · Жалоба

Добрый день.

 

Есть устройство: 

#sh ver
  SNR-S300X-24FQ Device, Compiled on Mar 24 17:11:47 2021
  sysLocation 78
  CPU Mac f8:f0:82:7a:d3:cf
  Vlan MAC f8:f0:82:7a:d3:ce
  SoftWare Package Version 7.5.3.2(R0010.0098)
  BootRom Version 7.5.6
  HardWare Version 1.0.1
  CPLD Version 1.05
  Serial No.:SW080810K821000041
  Copyright (C) 2021 NAG LLC
  All rights reserved
  Last reboot is cold reset.
  Uptime is 7 weeks, 2 days, 18 hours, 44 minutes

На нём: 

vlan 68
 name bc-43

interface Vlan68
 ip address 10.10.68.1 255.255.255.0

mac-ip-access-list extended vacl68
  permit any-source-mac any-destination-mac ip 10.10.68.0 0.0.0.255 10.10.68.0 0.0.0.255
  deny any-source-mac any-destination-mac tcp 10.10.68.0 0.0.0.255 10.10.10.0 0.0.0.255 syn
  permit any-source-mac any-destination-mac tcp 10.10.68.0 0.0.0.255 10.10.10.0 0.0.0.255
  permit any-source-mac host-destination-mac ff-ff-ff-ff-ff-ff udp any-source any-destination
  deny any-source-mac any-destination-mac ip any-source any-destination

vacl mac-ip access-group vacl68 in traffic-statistic vlan 68

По логике, при такой настройке обитатели сети 10.10.68.0/24 не имеют возможности инициировать tcp-соединение на 10.10.10.0/24, только отвечать на уже установленные, односторонняя связь, по-факту.

Схема чудесно работает на SNR-S2990G-24FX, а на S300 - нет. Т.е. из сети 10.10.10.0/24 я не могу соединиться с узлами в 10.10.68.0/24.

Не подскажете, может быть это особенности работы именно этого коммутатора? В таком случае, как реализовать желаемое?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Evgeny Mirhasanov   

Evgeny Mirhasanov
Опубликовано · Жалоба

@FMA0 Добрый день. Как только я применил ваш ACL на тестовом 2990, у меня сразу же пропал пинг из подсети 10.10.68.0/24 в 10.10.10.0/24. Т.е., видимо, у вас сейчас не совсем такой ACL на SNR-S2990G-24FX работает. 

SNR-S2990G-24FX Device, Compiled on Jun 21 14:13:00 2021
  sysLocation Building 57/2,Predelnaya st, Ekaterinburg, Russia
  CPU Mac f8:f0:82:73:ea:49
  Vlan MAC f8:f0:82:73:ea:48
  SoftWare Version 7.0.3.5(R0102.0316)
  BootRom Version 7.1.40
  HardWare Version 1.0.1
  CPLD Version N/A
  Serial No.:SW041710F522000171
  Copyright (C) 2021 NAG LLC
  All rights reserved
  Last reboot is cold reset.
  Uptime is 0 weeks, 0 days, 0 hours, 10 minutes

 

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

FMA0   

FMA0
Опубликовано · Жалоба

@Evgeny Mirhasanov А в ACL и нет речи про ICMP. (-:

Речь исключительно про TCP (ну ладно, там ещё широковещательные UDP разрешены), так что пинга быть и не должно.

 

Сформулирую чётче: нужно разрешить новые TCP соединения из 10.10.10.0/24 в 10.10.68.0/24, но запретить новые TCP-соединения из 10.10.68.0/24 в 10.10.10.0/24, разрешив работу установленных.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Evgeny Mirhasanov   

Evgeny Mirhasanov
Опубликовано · Жалоба

@FMA0 Проверил на стенде ваш VACL на 2990G-24FX с помощью iperf3. С ним тест не начинается ни в сторону 10.10.10.0/24, ни в сторону 10.10.68.0/24, т.е. трафик блокируется вообще, а не только по SYN-флагу.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
Подписчики 0
Перейти к списку тем Коммутаторы SNR, коммутаторы Orion Networks