Ivan Rostovikov Posted June 30, 2010 Posted June 30, 2010 В ядре стоит 6506 (SUP720) Выяснилось, что от абонентов массово сыпется ICMPv6 и DHCPv6. Заблокировать это на доступе - не могу. Можно ли порезать это в ядре ? Вставить ник Quote
Stak Posted June 30, 2010 Posted June 30, 2010 Как то так наверное: Extended IP access list test 10 deny 41 any any 20 deny 58 any any 30 permit ip any any http://www.networkuptime.com/library/ip_protocol.html 58 IPv6-ICMP ICMP for IPv6 [RFC1883] 41 IPv6 Ipv6 [Deering] Вставить ник Quote
Ivan Rostovikov Posted June 30, 2010 Author Posted June 30, 2010 Честно говоря не понял где описавается этот ACL и как он применяется. Не могли бы Вы привести пример изпользования такого ACL для интерфейса switchport ? Вставить ник Quote
yakuzzza Posted June 30, 2010 Posted June 30, 2010 Вам набросали тестовый ацл с указанием номеров протоколов. Поднять документацию как применять ACL на интерфейсах (хоть на VLAN-интерфейс хоть физический). Вставить ник Quote
blackjack Posted June 30, 2010 Posted June 30, 2010 (edited) conf t ip access-list extended 1 deny 41 any any deny 58 any any permit ip any any exit interface vlan 34 ip access-group 1 in end write как-то так Edited June 30, 2010 by blackjack Вставить ник Quote
Ivan Rostovikov Posted July 1, 2010 Author Posted July 1, 2010 (edited) >как то так для интерфейса switchport ? Видимо меня не поняли. У меня нет vlan- интерфейсов. Только L2. Если бы трафик проходил через L3, IPv6 "отрезался бы - сам собой". Edited July 1, 2010 by Ivan Rostovikov Вставить ник Quote
ingress Posted July 1, 2010 Posted July 1, 2010 вам лучше vlan acl сделать, потому что толку включать эти правила на SVI или routed port на которых только ipv4. прочитать есесно на cisco.com :) Вставить ник Quote
Frau Posted July 1, 2010 Posted July 1, 2010 В ядре стоит 6506 (SUP720)Выяснилось, что от абонентов массово сыпется ICMPv6 и DHCPv6. Заблокировать это на доступе - не могу. Можно ли порезать это в ядре ? а смысл блокировать это на каталисте? оно же в пределах одного широковещательного домена. Надо именно на доступе.. И причем не конкретно эти протоколы, а левый мультикаст, на основании которого клиентские машины договариваются о настройках ipv6. Тоже интересуюсь этой темой, там еще такие вещи можно с виндами вытворять с клиентскими... Вставить ник Quote
Ivan Rostovikov Posted July 1, 2010 Author Posted July 1, 2010 (edited) >а смысл блокировать это на каталисте? В топике ясно написано. "Заблокировать это на доступе - не могу." >И причем не конкретно эти протоколы, а левый мультикаст, на основании которого клиентские машины договариваются о настройках ipv6. Во первых не мультикаст, а броадкаст. Во вторых эти протоколы как раз оно и есть. >вам лучше vlan acl сделать 1. vlan acl умеет выделять тип езернет протокола ? Можно пример ? Тут я не нашел: Ссылка Мой вариант похож на рис. 35-1: Ссылка 2. Как vlan acl повесить на L2 интерфейс ? Edited July 1, 2010 by Ivan Rostovikov Вставить ник Quote
Stak Posted July 1, 2010 Posted July 1, 2010 Тут пишут, что в VACL ipv6 не поддерживатся, по крайней мере для редиректа: http://www.cisco.com/en/US/tech/tk389/tk81...0808122ac.shtml Note: VACL is not supported with IPv6 on a Catalyst 6000 series switch. In other words, VLAN ACL redirect and IPv6 are not compatible so ACL cannot be used to match IPv6 traffic. Вставить ник Quote
yakuzzza Posted July 1, 2010 Posted July 1, 2010 А тогда вопрос. Это что, можно настроить IPv6 сеть и спокойно гонять трафик ч-з 65 каталист? Если кто в курсе - просветите по вопросу, пожалуйста. Очень интересно. Вставить ник Quote
Frau Posted July 2, 2010 Posted July 2, 2010 А тогда вопрос. Это что, можно настроить IPv6 сеть и спокойно гонять трафик ч-з 65 каталист? Если кто в курсе - просветите по вопросу, пожалуйста. Очень интересно. нет так не получитсяименно поэтому я и спрашиваю у автора зачем ему блокировать это на каталисте если трафик дальше него все равно не уйдет Вставить ник Quote
Ivan Rostovikov Posted July 2, 2010 Author Posted July 2, 2010 (edited) IPV6 трафик (в частности ICMPv6 и DHCPv6) свободно гуляют внутри 1-го влана. Между портами L2. 6500 у меня - ядро PPPoE сети. Все порты - члены одного PPPoE влана (L2). На каждый порт приходится по 100-500 хостов. Трафик между портами сегментирован механизмом "Private Hosts", Но как выяснилось это не блокирует широковыщательный IPv6 трафик. :-( У меня подозрение, что и другие производителя грешат подобным. Например Dlink 3627. Для проверки прописал правило на все порты "запретить все". И получил на выходе - IPv6 мультикаст :-((( Edited July 2, 2010 by Ivan Rostovikov Вставить ник Quote
Frau Posted July 2, 2010 Posted July 2, 2010 А какие проблемы создает этот трафик? Вставить ник Quote
Ivan Rostovikov Posted July 2, 2010 Author Posted July 2, 2010 ICMPv6 и DHCPv6 - от этих пакетов заполняются таблицы MAC адресов в коммутаторах доступа. Для DES 3028 - крайне актуально. Вставить ник Quote
Frau Posted July 2, 2010 Posted July 2, 2010 ICMPv6 и DHCPv6 - от этих пакетов заполняются таблицы MAC адресов в коммутаторах доступа. Для DES 3028 - крайне актуально.для 3028 это актуально, да, но таким образом вы проблему не решите, надо уменьшать размеры броадкаст-доменов, а не фильтровать, даже если у вас и получится это сделать на 65-ом, то количество маков на 3028 не уменьшится У нас впринципе та же ситуация и теже коммутаторы доступа, на которых этот мусор не блокируется. Поэтому вам проще в таком случае 1 порт 65 - 1 вилан. особенно если на каждый порт приходится 100-500 маков.. Вставить ник Quote
Ivan Rostovikov Posted July 2, 2010 Author Posted July 2, 2010 >надо уменьшать размеры броадкаст-доменов, а не фильтровать Вы невнимательно читаете мои посты. Трафик между портами сегментирован механизмом "Private Hosts", Но как выяснилось это не блокирует широковыщательный IPv6 трафик.:-( Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.