Jump to content

ACL Alcatel 6224

Folder
 Share

Recommended Posts

Folder

Folder

Posted
Posted

Добрый день, недавно попался в мои руки коммутатор Alcatel OmniStack LS 6224, нужно его минимально настроить. Требуется статический привязать по несколько IP на каждый порт и закрыть работу некоторых служб типа netbios, dhcp и.т.д.

Мне кажется, что подобные правила должны разрешить работу на порту e1 IP-адреса 192.168.9.2 и 192.168.9.15, но на практике порт совсем не чего не пропускает.

 

ip access-list ip-acl1

permit ip 192.168.9.2 255.255.255.255 any

permit ip 192.168.9.15 255.255.255.255 any

exit

interface ethernet 2/e1

service-acl input ip-acl1

 

И еще, если есть у этого коммутатора возможность просмотра списка multicast групп, которые в данный момент им удерживаются (альтернатива дринковскому show igmp group)?

Folder

Folder

Posted
  • Author
Posted

Немного по-мучаясь, таки сделал, что хотел и так как хотел, включил qos advanced и все заработало. Вышло что-то вроде этого:

 

interface range ethernet 2/e(1-3),2/g1

port storm-control broadcast enable

exit

interface vlan 1

ip igmp snooping

exit

interface vlan 1

ip address 192.168.9.50 255.255.255.0

exit

ip default-gateway 192.168.9.1

qos advanced

ip access-list ip-acl1

permit any 192.168.9.2 0.0.0.0 any

permit any 192.168.9.5 0.0.0.0 any

exit

ip access-list ip-acl2

permit any 192.168.9.43 0.0.0.0 any

exit

ip access-list ip-acl3

permit any 192.168.9.10 0.0.0.0 any

exit

interface ethernet 2/e1

service-acl input ip-acl1

exit

interface ethernet 2/e2

service-acl input ip-acl2

exit

interface ethernet 2/e3

service-acl input ip-acl3

exit

username admin password f47a1bf8586b29bff884e6200c5d5de9 level 15 encrypted

ip ssh server

 

Вопрос по multicast остается в силе. До сих пор мне не понятно как можно посмотреть igmp groups на которые подписался коммутатор? Команда show ip igmp snooping groups не чего не выводит!

 

  • 2 weeks later...
telephonist

telephonist

Posted
Posted

Вопрос в тему! Купили таких 11 in и теперь нужно настроить привязку IP+MAC как это сделать? Аксес листы позволяют привязывать или по маку или по IP. На Длинках 3526 делаем IP+MAC без проблем!

Ilya Nikitin

Ilya Nikitin

Posted
Posted (edited)
Вопрос в тему! Купили таких 11 in и теперь нужно настроить привязку IP+MAC как это сделать? Аксес листы позволяют привязывать или по маку или по IP. На Длинках 3526 делаем IP+MAC без проблем!

DHCP snooping + ARP Inspection + Source Guard + Option 82 не катит ?

 

З.Ы. Вроде как можно статически это в Source Guard'е сделать, например вот так:

 

ip source-guard binding 00:16:d3:e3:bc:cf 23 192.168.1.1 ethernet e3

Edited by Ilya Nikitin
telephonist

telephonist

Posted
Posted
Вопрос в тему! Купили таких 11 in и теперь нужно настроить привязку IP+MAC как это сделать? Аксес листы позволяют привязывать или по маку или по IP. На Длинках 3526 делаем IP+MAC без проблем!

DHCP snooping + ARP Inspection + Source Guard + Option 82 не катит ?

 

З.Ы. Вроде как можно статически это в Source Guard'е сделать, например вот так:

 

ip source-guard binding 00:16:d3:e3:bc:cf 23 192.168.1.1 ethernet e3

DHCP не используем, а вот Source Guard пропускал трафик, если я специально ставил в биндинг неправильный мак, но правильный IP. Правда сейчас прошивку 23 поставил, может что поменялось - проверю, отпишусь.

 

telephonist

telephonist

Posted
Posted (edited)
Вопрос в тему! Купили таких 11 in и теперь нужно настроить привязку IP+MAC как это сделать? Аксес листы позволяют привязывать или по маку или по IP. На Длинках 3526 делаем IP+MAC без проблем!

DHCP snooping + ARP Inspection + Source Guard + Option 82 не катит ?

 

З.Ы. Вроде как можно статически это в Source Guard'е сделать, например вот так:

 

ip source-guard binding 00:16:d3:e3:bc:cf 23 192.168.1.1 ethernet e3

Пытаюсь сделать вот так

 

ip source-guard binding 00:18:f3:a2:d3:8f 1 192.168.0.106 ethernet e19
interface ethernet e19
ip source-guard
exit

 

После этого пишет такое

 

# show ip source-guard inactive
TCAM resources search frequency: 1  minutes


Interface Filter   IP address       MAC address    VLAN  Type      Reason
--------- ------ --------------- ----------------- ---- ------ ---------------
e2        IP                                    No snooping VLAN
e3        IP                                    No snooping VLAN
e19       IP     192.168.0.106   00:18:f3:a2:d3:8f 1    Static     No SnoopingVlan

#


# show ip source-guard status
IP Source Guard: Enabled


Interface Filter  Status    IP address       MAC address    VLAN  Type
--------- ------ -------- --------------- ----------------- ---- ------
e2        IP     inactive
e3        IP     inactive
e19       IP     inactive 192.168.0.106   00:18:f3:a2:d3:8f 1    Static

#



# show ip source-guard configuration
IP Source Guard is Enabled

Interface    State
----------- ----------
    e2       Enabled
    e3       Enabled
    e19      Enabled

#

 

Я хочу статически привязывать IP + MAC у меня не будет DHCP. Подскажите как его добить ???

Edited by telephonist
telephonist

telephonist

Posted
Posted

Включить удалось. Таким вот макаром. Ему, оказывается чтобы он активировался нужно чтобы dhcp снупинг был влючен глобально и для конкретного вилана.

 

configure
ip source-guard
ip dhcp snooping
ip dhcp snooping vlan 1
interface range ethernet e(1-24)
ip source-guard
exit
ip source-guard binding 00:18:f3:a2:d3:8f 1 192.168.0.106 ethernet e21

 

Теперь принты такие:

 

# sh ip source-guard status
IP Source Guard: Enabled


Interface Filter  Status    IP address       MAC address    VLAN  Type
--------- ------ -------- --------------- ----------------- ---- ------
e1        IP     active    Deny All
e2        IP     inactive
e3        IP     inactive
e4        IP     active    Deny All
e5        IP     active    Deny All
e6        IP     active    Deny All
e7        IP     active    Deny All
e8        IP     active    Deny All
e9        IP     active    Deny All
e10       IP     active    Deny All
e11       IP     active    Deny All
e12       IP     inactive
e13       IP     inactive
e14       IP     active    Deny All
e15       IP     active    Deny All
e16       IP     active    Deny All
e17       IP     active    Deny All
e18       IP     active    Deny All
e19       IP     active    Deny All
e20       IP     active    Deny All
e21       IP     active   192.168.0.106   00:18:f3:a2:d3:8f 1    Static
e22       IP     active    Deny All
e23       IP     active    Deny All
e24       IP     active    Deny All

 

 

Работает так:

 

Если IP приходит правильный - пропускает, причем мак пофигу.

Если IP приходит неправильный - не пропускает.

Хотя в мануалах пишут IP+MAC!!!

 

 

 

# sh version
SW version    1.7.0.23 ( date  30-Sep-2009 time  09:51:50 )
Boot version    1.0.0.12 ( date  19-Oct-2006 time  09:07:37 )
HW version    00.00.01
#

 

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.