Ivan Rostovikov Опубликовано 30 июня, 2010 · Жалоба В ядре стоит 6506 (SUP720) Выяснилось, что от абонентов массово сыпется ICMPv6 и DHCPv6. Заблокировать это на доступе - не могу. Можно ли порезать это в ядре ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 30 июня, 2010 · Жалоба Как то так наверное: Extended IP access list test 10 deny 41 any any 20 deny 58 any any 30 permit ip any any http://www.networkuptime.com/library/ip_protocol.html 58 IPv6-ICMP ICMP for IPv6 [RFC1883] 41 IPv6 Ipv6 [Deering] Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 30 июня, 2010 · Жалоба Честно говоря не понял где описавается этот ACL и как он применяется. Не могли бы Вы привести пример изпользования такого ACL для интерфейса switchport ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 30 июня, 2010 · Жалоба Вам набросали тестовый ацл с указанием номеров протоколов. Поднять документацию как применять ACL на интерфейсах (хоть на VLAN-интерфейс хоть физический). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
blackjack Опубликовано 30 июня, 2010 (изменено) · Жалоба conf t ip access-list extended 1 deny 41 any any deny 58 any any permit ip any any exit interface vlan 34 ip access-group 1 in end write как-то так Изменено 30 июня, 2010 пользователем blackjack Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 30 июня, 2010 · Жалоба И все-таки лучше RTFM. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 1 июля, 2010 (изменено) · Жалоба >как то так для интерфейса switchport ? Видимо меня не поняли. У меня нет vlan- интерфейсов. Только L2. Если бы трафик проходил через L3, IPv6 "отрезался бы - сам собой". Изменено 1 июля, 2010 пользователем Ivan Rostovikov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 1 июля, 2010 · Жалоба вам лучше vlan acl сделать, потому что толку включать эти правила на SVI или routed port на которых только ipv4. прочитать есесно на cisco.com :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Frau Опубликовано 1 июля, 2010 · Жалоба В ядре стоит 6506 (SUP720)Выяснилось, что от абонентов массово сыпется ICMPv6 и DHCPv6. Заблокировать это на доступе - не могу. Можно ли порезать это в ядре ? а смысл блокировать это на каталисте? оно же в пределах одного широковещательного домена. Надо именно на доступе.. И причем не конкретно эти протоколы, а левый мультикаст, на основании которого клиентские машины договариваются о настройках ipv6. Тоже интересуюсь этой темой, там еще такие вещи можно с виндами вытворять с клиентскими... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 1 июля, 2010 (изменено) · Жалоба >а смысл блокировать это на каталисте? В топике ясно написано. "Заблокировать это на доступе - не могу." >И причем не конкретно эти протоколы, а левый мультикаст, на основании которого клиентские машины договариваются о настройках ipv6. Во первых не мультикаст, а броадкаст. Во вторых эти протоколы как раз оно и есть. >вам лучше vlan acl сделать 1. vlan acl умеет выделять тип езернет протокола ? Можно пример ? Тут я не нашел: Ссылка Мой вариант похож на рис. 35-1: Ссылка 2. Как vlan acl повесить на L2 интерфейс ? Изменено 1 июля, 2010 пользователем Ivan Rostovikov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 1 июля, 2010 · Жалоба Тут пишут, что в VACL ipv6 не поддерживатся, по крайней мере для редиректа: http://www.cisco.com/en/US/tech/tk389/tk81...0808122ac.shtml Note: VACL is not supported with IPv6 on a Catalyst 6000 series switch. In other words, VLAN ACL redirect and IPv6 are not compatible so ACL cannot be used to match IPv6 traffic. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 1 июля, 2010 · Жалоба А тогда вопрос. Это что, можно настроить IPv6 сеть и спокойно гонять трафик ч-з 65 каталист? Если кто в курсе - просветите по вопросу, пожалуйста. Очень интересно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Frau Опубликовано 2 июля, 2010 · Жалоба А тогда вопрос. Это что, можно настроить IPv6 сеть и спокойно гонять трафик ч-з 65 каталист? Если кто в курсе - просветите по вопросу, пожалуйста. Очень интересно. нет так не получитсяименно поэтому я и спрашиваю у автора зачем ему блокировать это на каталисте если трафик дальше него все равно не уйдет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 2 июля, 2010 (изменено) · Жалоба IPV6 трафик (в частности ICMPv6 и DHCPv6) свободно гуляют внутри 1-го влана. Между портами L2. 6500 у меня - ядро PPPoE сети. Все порты - члены одного PPPoE влана (L2). На каждый порт приходится по 100-500 хостов. Трафик между портами сегментирован механизмом "Private Hosts", Но как выяснилось это не блокирует широковыщательный IPv6 трафик. :-( У меня подозрение, что и другие производителя грешат подобным. Например Dlink 3627. Для проверки прописал правило на все порты "запретить все". И получил на выходе - IPv6 мультикаст :-((( Изменено 2 июля, 2010 пользователем Ivan Rostovikov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Frau Опубликовано 2 июля, 2010 · Жалоба А какие проблемы создает этот трафик? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 2 июля, 2010 · Жалоба ICMPv6 и DHCPv6 - от этих пакетов заполняются таблицы MAC адресов в коммутаторах доступа. Для DES 3028 - крайне актуально. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Frau Опубликовано 2 июля, 2010 · Жалоба ICMPv6 и DHCPv6 - от этих пакетов заполняются таблицы MAC адресов в коммутаторах доступа. Для DES 3028 - крайне актуально.для 3028 это актуально, да, но таким образом вы проблему не решите, надо уменьшать размеры броадкаст-доменов, а не фильтровать, даже если у вас и получится это сделать на 65-ом, то количество маков на 3028 не уменьшится У нас впринципе та же ситуация и теже коммутаторы доступа, на которых этот мусор не блокируется. Поэтому вам проще в таком случае 1 порт 65 - 1 вилан. особенно если на каждый порт приходится 100-500 маков.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 2 июля, 2010 · Жалоба >надо уменьшать размеры броадкаст-доменов, а не фильтровать Вы невнимательно читаете мои посты. Трафик между портами сегментирован механизмом "Private Hosts", Но как выяснилось это не блокирует широковыщательный IPv6 трафик.:-( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...