RN3DCX Posted February 4, 2024 Posted February 4, 2024 Задача разрешить доступ Ethernet 1/0/1 порту только с определенной подсети. Цитата ip access-list extended access_only_authorized/valid_network permit ip 100.64.0.0 0.63.255.255 any-destination exit Цитата Interface Ethernet1/0/1 description --homyak_dogovor_101-- bridge-protocol filter lldp storm-control broadcast 128 switchport access vlan 1185 switchport flood-control mcast ip access-group access_only_authorized/valid_network in Цитата SNR-S2985G-48T# sh mac-address-table interface eth 1/0/1 Read mac address table.... Vlan Mac Address Type Creator Ports ---- --------------------------- ------- ------------------------------------- 1185 da-47-32-8d-c9-cf DYNAMIC Hardware Ethernet1/0/1 Достаточно ли этих правил? Для фильтрации ? Почему спрашиваю, т.к. на выше стоящем оборудовании прилетают с данного порта запросы вида: host DA:47:32:8D:C9:CF/192.168.101.104 - чего как бы не должно быть.. Вставить ник Quote
Vladimir Efimtsev Posted February 5, 2024 Posted February 5, 2024 @RN3DCX, здравствуйте. Насколько помню, по умолчанию неявное правило на коммутаторах SNR - implicit permit (т.е. все, что не запрещено - разрешено). Попробуйте в конце access-list указать явно deny any any. Вставить ник Quote
RN3DCX Posted February 5, 2024 Author Posted February 5, 2024 @Vladimir Efimtsev , благодарю за ответ. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.