Jump to content
Калькуляторы

ACL Alcatel 6224 Нужна помощь в настройке коммутатора

Добрый день, недавно попался в мои руки коммутатор Alcatel OmniStack LS 6224, нужно его минимально настроить. Требуется статический привязать по несколько IP на каждый порт и закрыть работу некоторых служб типа netbios, dhcp и.т.д.

Мне кажется, что подобные правила должны разрешить работу на порту e1 IP-адреса 192.168.9.2 и 192.168.9.15, но на практике порт совсем не чего не пропускает.

 

ip access-list ip-acl1

permit ip 192.168.9.2 255.255.255.255 any

permit ip 192.168.9.15 255.255.255.255 any

exit

interface ethernet 2/e1

service-acl input ip-acl1

 

И еще, если есть у этого коммутатора возможность просмотра списка multicast групп, которые в данный момент им удерживаются (альтернатива дринковскому show igmp group)?

Share this post


Link to post
Share on other sites

Немного по-мучаясь, таки сделал, что хотел и так как хотел, включил qos advanced и все заработало. Вышло что-то вроде этого:

 

interface range ethernet 2/e(1-3),2/g1

port storm-control broadcast enable

exit

interface vlan 1

ip igmp snooping

exit

interface vlan 1

ip address 192.168.9.50 255.255.255.0

exit

ip default-gateway 192.168.9.1

qos advanced

ip access-list ip-acl1

permit any 192.168.9.2 0.0.0.0 any

permit any 192.168.9.5 0.0.0.0 any

exit

ip access-list ip-acl2

permit any 192.168.9.43 0.0.0.0 any

exit

ip access-list ip-acl3

permit any 192.168.9.10 0.0.0.0 any

exit

interface ethernet 2/e1

service-acl input ip-acl1

exit

interface ethernet 2/e2

service-acl input ip-acl2

exit

interface ethernet 2/e3

service-acl input ip-acl3

exit

username admin password f47a1bf8586b29bff884e6200c5d5de9 level 15 encrypted

ip ssh server

 

Вопрос по multicast остается в силе. До сих пор мне не понятно как можно посмотреть igmp groups на которые подписался коммутатор? Команда show ip igmp snooping groups не чего не выводит!

 

Share this post


Link to post
Share on other sites

Вопрос в тему! Купили таких 11 in и теперь нужно настроить привязку IP+MAC как это сделать? Аксес листы позволяют привязывать или по маку или по IP. На Длинках 3526 делаем IP+MAC без проблем!

Share this post


Link to post
Share on other sites
Вопрос в тему! Купили таких 11 in и теперь нужно настроить привязку IP+MAC как это сделать? Аксес листы позволяют привязывать или по маку или по IP. На Длинках 3526 делаем IP+MAC без проблем!

DHCP snooping + ARP Inspection + Source Guard + Option 82 не катит ?

 

З.Ы. Вроде как можно статически это в Source Guard'е сделать, например вот так:

 

ip source-guard binding 00:16:d3:e3:bc:cf 23 192.168.1.1 ethernet e3

Edited by Ilya Nikitin

Share this post


Link to post
Share on other sites
Вопрос в тему! Купили таких 11 in и теперь нужно настроить привязку IP+MAC как это сделать? Аксес листы позволяют привязывать или по маку или по IP. На Длинках 3526 делаем IP+MAC без проблем!

DHCP snooping + ARP Inspection + Source Guard + Option 82 не катит ?

 

З.Ы. Вроде как можно статически это в Source Guard'е сделать, например вот так:

 

ip source-guard binding 00:16:d3:e3:bc:cf 23 192.168.1.1 ethernet e3

DHCP не используем, а вот Source Guard пропускал трафик, если я специально ставил в биндинг неправильный мак, но правильный IP. Правда сейчас прошивку 23 поставил, может что поменялось - проверю, отпишусь.

 

Share this post


Link to post
Share on other sites
Вопрос в тему! Купили таких 11 in и теперь нужно настроить привязку IP+MAC как это сделать? Аксес листы позволяют привязывать или по маку или по IP. На Длинках 3526 делаем IP+MAC без проблем!

DHCP snooping + ARP Inspection + Source Guard + Option 82 не катит ?

 

З.Ы. Вроде как можно статически это в Source Guard'е сделать, например вот так:

 

ip source-guard binding 00:16:d3:e3:bc:cf 23 192.168.1.1 ethernet e3

Пытаюсь сделать вот так

 

ip source-guard binding 00:18:f3:a2:d3:8f 1 192.168.0.106 ethernet e19
interface ethernet e19
ip source-guard
exit

 

После этого пишет такое

 

# show ip source-guard inactive
TCAM resources search frequency: 1  minutes


Interface Filter   IP address       MAC address    VLAN  Type      Reason
--------- ------ --------------- ----------------- ---- ------ ---------------
e2        IP                                    No snooping VLAN
e3        IP                                    No snooping VLAN
e19       IP     192.168.0.106   00:18:f3:a2:d3:8f 1    Static     No SnoopingVlan

#


# show ip source-guard status
IP Source Guard: Enabled


Interface Filter  Status    IP address       MAC address    VLAN  Type
--------- ------ -------- --------------- ----------------- ---- ------
e2        IP     inactive
e3        IP     inactive
e19       IP     inactive 192.168.0.106   00:18:f3:a2:d3:8f 1    Static

#



# show ip source-guard configuration
IP Source Guard is Enabled

Interface    State
----------- ----------
    e2       Enabled
    e3       Enabled
    e19      Enabled

#

 

Я хочу статически привязывать IP + MAC у меня не будет DHCP. Подскажите как его добить ???

Edited by telephonist

Share this post


Link to post
Share on other sites

Включить удалось. Таким вот макаром. Ему, оказывается чтобы он активировался нужно чтобы dhcp снупинг был влючен глобально и для конкретного вилана.

 

configure
ip source-guard
ip dhcp snooping
ip dhcp snooping vlan 1
interface range ethernet e(1-24)
ip source-guard
exit
ip source-guard binding 00:18:f3:a2:d3:8f 1 192.168.0.106 ethernet e21

 

Теперь принты такие:

 

# sh ip source-guard status
IP Source Guard: Enabled


Interface Filter  Status    IP address       MAC address    VLAN  Type
--------- ------ -------- --------------- ----------------- ---- ------
e1        IP     active    Deny All
e2        IP     inactive
e3        IP     inactive
e4        IP     active    Deny All
e5        IP     active    Deny All
e6        IP     active    Deny All
e7        IP     active    Deny All
e8        IP     active    Deny All
e9        IP     active    Deny All
e10       IP     active    Deny All
e11       IP     active    Deny All
e12       IP     inactive
e13       IP     inactive
e14       IP     active    Deny All
e15       IP     active    Deny All
e16       IP     active    Deny All
e17       IP     active    Deny All
e18       IP     active    Deny All
e19       IP     active    Deny All
e20       IP     active    Deny All
e21       IP     active   192.168.0.106   00:18:f3:a2:d3:8f 1    Static
e22       IP     active    Deny All
e23       IP     active    Deny All
e24       IP     active    Deny All

 

 

Работает так:

 

Если IP приходит правильный - пропускает, причем мак пофигу.

Если IP приходит неправильный - не пропускает.

Хотя в мануалах пишут IP+MAC!!!

 

 

 

# sh version
SW version    1.7.0.23 ( date  30-Sep-2009 time  09:51:50 )
Boot version    1.0.0.12 ( date  19-Oct-2006 time  09:07:37 )
HW version    00.00.01
#

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this