Jump to content
Калькуляторы

Catalyst 6500. Заблокировать IPv6

В ядре стоит 6506 (SUP720)

Выяснилось, что от абонентов массово сыпется ICMPv6 и DHCPv6.

Заблокировать это на доступе - не могу.

Можно ли порезать это в ядре ?

 

Share this post


Link to post
Share on other sites

Честно говоря не понял где описавается этот ACL и как он применяется.

Не могли бы Вы привести пример изпользования такого ACL для интерфейса switchport ?

Share this post


Link to post
Share on other sites

Вам набросали тестовый ацл с указанием номеров протоколов.

Поднять документацию как применять ACL на интерфейсах (хоть на VLAN-интерфейс хоть физический).

 

Share this post


Link to post
Share on other sites

conf t
ip access-list extended 1
deny 41 any any
deny 58 any any
permit ip any any

exit

interface vlan 34
ip access-group 1 in
end 
write

как-то так

Edited by blackjack

Share this post


Link to post
Share on other sites

>как то так

 

для интерфейса switchport ?

 

Видимо меня не поняли.

У меня нет vlan- интерфейсов. Только L2.

Если бы трафик проходил через L3, IPv6 "отрезался бы - сам собой".

Edited by Ivan Rostovikov

Share this post


Link to post
Share on other sites

вам лучше vlan acl сделать, потому что толку включать эти правила на SVI или routed port на которых только ipv4.

прочитать есесно на cisco.com :)

Share this post


Link to post
Share on other sites
В ядре стоит 6506 (SUP720)

Выяснилось, что от абонентов массово сыпется ICMPv6 и DHCPv6.

Заблокировать это на доступе - не могу.

Можно ли порезать это в ядре ?

а смысл блокировать это на каталисте? оно же в пределах одного широковещательного домена. Надо именно на доступе.. И причем не конкретно эти протоколы, а левый мультикаст, на основании которого клиентские машины договариваются о настройках ipv6.

Тоже интересуюсь этой темой, там еще такие вещи можно с виндами вытворять с клиентскими...

Share this post


Link to post
Share on other sites

>а смысл блокировать это на каталисте?

В топике ясно написано.

"Заблокировать это на доступе - не могу."

 

 

>И причем не конкретно эти протоколы, а левый мультикаст, на основании которого клиентские машины договариваются о настройках ipv6.

Во первых не мультикаст, а броадкаст.

Во вторых эти протоколы как раз оно и есть.

 

 

>вам лучше vlan acl сделать

1. vlan acl умеет выделять тип езернет протокола ? Можно пример ?

Тут я не нашел: Ссылка

 

Мой вариант похож на рис. 35-1:

Ссылка

 

2. Как vlan acl повесить на L2 интерфейс ?

Edited by Ivan Rostovikov

Share this post


Link to post
Share on other sites

Тут пишут, что в VACL ipv6 не поддерживатся, по крайней мере для редиректа:

 

http://www.cisco.com/en/US/tech/tk389/tk81...0808122ac.shtml

Note: VACL is not supported with IPv6 on a Catalyst 6000 series switch. In other words, VLAN ACL redirect and IPv6 are not compatible so ACL cannot be used to match IPv6 traffic.

Share this post


Link to post
Share on other sites

А тогда вопрос. Это что, можно настроить IPv6 сеть и спокойно гонять трафик ч-з 65 каталист?

Если кто в курсе - просветите по вопросу, пожалуйста. Очень интересно.

Share this post


Link to post
Share on other sites
А тогда вопрос. Это что, можно настроить IPv6 сеть и спокойно гонять трафик ч-з 65 каталист?

Если кто в курсе - просветите по вопросу, пожалуйста. Очень интересно.

нет так не получится

именно поэтому я и спрашиваю у автора зачем ему блокировать это на каталисте если трафик дальше него все равно не уйдет

 

Share this post


Link to post
Share on other sites

IPV6 трафик (в частности ICMPv6 и DHCPv6) свободно гуляют внутри 1-го влана. Между портами L2.

6500 у меня - ядро PPPoE сети.

Все порты - члены одного PPPoE влана (L2). На каждый порт приходится по 100-500 хостов.

Трафик между портами сегментирован механизмом "Private Hosts", Но как выяснилось это не блокирует широковыщательный IPv6 трафик.

:-(

У меня подозрение, что и другие производителя грешат подобным.

Например Dlink 3627. Для проверки прописал правило на все порты "запретить все". И получил на выходе - IPv6 мультикаст :-(((

Edited by Ivan Rostovikov

Share this post


Link to post
Share on other sites

А какие проблемы создает этот трафик?

Share this post


Link to post
Share on other sites

ICMPv6 и DHCPv6 - от этих пакетов заполняются таблицы MAC адресов в коммутаторах доступа. Для DES 3028 - крайне актуально.

Share this post


Link to post
Share on other sites
ICMPv6 и DHCPv6 - от этих пакетов заполняются таблицы MAC адресов в коммутаторах доступа. Для DES 3028 - крайне актуально.
для 3028 это актуально, да, но таким образом вы проблему не решите, надо уменьшать размеры броадкаст-доменов, а не фильтровать, даже если у вас и получится это сделать на 65-ом, то количество маков на 3028 не уменьшится

У нас впринципе та же ситуация и теже коммутаторы доступа, на которых этот мусор не блокируется.

Поэтому вам проще в таком случае 1 порт 65 - 1 вилан. особенно если на каждый порт приходится 100-500 маков..

Share this post


Link to post
Share on other sites

>надо уменьшать размеры броадкаст-доменов, а не фильтровать

 

Вы невнимательно читаете мои посты.

Трафик между портами сегментирован механизмом "Private Hosts", Но как выяснилось это не блокирует широковыщательный IPv6 трафик.

:-(

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this