[anp/hsw] Posted February 19, 2022 Здравствуйте! Нужно навешать на порты коммутатора несколько разных acl: #### SNR-S2965-8T ## invalid mac, ARP, IP, PPPOE access-list 1100 deny host 00:00:00:00:00:00 any-destination-mac access-list 1100 deny host FF:FF:FF:FF:FF:FF any-destination-mac access-list 1100 deny any-source-mac 02:00:00:00:00:00 FF:FF:FF:00:00:00 access-list 1100 permit any-source-mac any-destination-mac ethertype 2048 access-list 1100 permit any-source-mac any-destination-mac ethertype 2054 access-list 1100 permit any-source-mac any-destination-mac ethertype 34915 access-list 1100 permit any-source-mac any-destination-mac ethertype 34916 access-list 1100 deny any-source-mac any-destination-mac ## DHCP + SRC IP access-list 200 deny udp any-source s-port 67 any-destination access-list 200 deny ip host-source 192.168.1.1 any-destination ## PPPOE PADI answer userdefined-access-list standard offset window1 l2endoftag 0 window2 l2endoftag 1 userdefined-access-list standard 1200 deny any-source-mac any-destination-mac window1 8863 FFFF window2 0007 00FF Далее вешаем на порт: ip access-group 200 in mac access-group 1100 in userdefined access-group 1200 in Как узнать, в какой очередности они будут исполняться? Если трафик получает permit в одном из листов, то он проверяется в остальных или нет? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted February 19, 2022 В 19.02.2022 в 07:10, [anp/hsw] сказал: Как узнать, в какой очередности они будут исполняться? Сверху вниз в очередности назначения (как в листинге конфига). Первое же подхдящее запрещающее правило отклонит пакет без его обработки дальше по спискам. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
[anp/hsw] Posted February 19, 2022 В 19.02.2022 в 14:26, jffulcrum сказал: Первое же подхдящее запрещающее правило отклонит пакет без его обработки дальше по спискам. А первое разрешающее закончит обработку всех ACL или пакет попадет также в следующие ACL, и там его можно запретить? Т.е. будет ли конструкция userdefined-access-list standard offset window1 l2endoftag 0 window2 l2endoftag 1 userdefined-access-list standard 1200 deny any-source-mac any-destination-mac window1 8863 FFFF window2 0007 00FF access-list 1100 permit any-source-mac any-destination-mac ethertype 34915 дропать пакет после исполнения permit в предыдущем acl (0x8863 = 34915)? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted February 19, 2022 В пределах одного ACL сработает первое подходящее разрешающее правило. Но в следующем ACL проверка продолжится. Но до конца не проверял. Включите traffic-statistic в ACL и посмотрите по счетчикам. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Kozubsky Vladimir Posted February 21, 2022 @[anp/hsw], Добрый день. ACL обрабатываются в следующем порядке: 1) Userdefined ACL 2) IPv6 ACL 3) MAC-IP ACL 4) IP ACL 5) MAC ACL Если пакет не был заблокирован первым ACL, то он будет также проверен следующим и т.д. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
