Перейти к содержимому
Калькуляторы

Catalyst 6500. Заблокировать IPv6

В ядре стоит 6506 (SUP720)

Выяснилось, что от абонентов массово сыпется ICMPv6 и DHCPv6.

Заблокировать это на доступе - не могу.

Можно ли порезать это в ядре ?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как то так наверное:

Extended IP access list test

10 deny 41 any any

20 deny 58 any any

30 permit ip any any

 

http://www.networkuptime.com/library/ip_protocol.html

58 IPv6-ICMP ICMP for IPv6 [RFC1883]

41 IPv6 Ipv6 [Deering]

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Честно говоря не понял где описавается этот ACL и как он применяется.

Не могли бы Вы привести пример изпользования такого ACL для интерфейса switchport ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вам набросали тестовый ацл с указанием номеров протоколов.

Поднять документацию как применять ACL на интерфейсах (хоть на VLAN-интерфейс хоть физический).

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

conf t
ip access-list extended 1
deny 41 any any
deny 58 any any
permit ip any any

exit

interface vlan 34
ip access-group 1 in
end 
write

как-то так

Изменено пользователем blackjack

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И все-таки лучше RTFM.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

>как то так

 

для интерфейса switchport ?

 

Видимо меня не поняли.

У меня нет vlan- интерфейсов. Только L2.

Если бы трафик проходил через L3, IPv6 "отрезался бы - сам собой".

Изменено пользователем Ivan Rostovikov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вам лучше vlan acl сделать, потому что толку включать эти правила на SVI или routed port на которых только ipv4.

прочитать есесно на cisco.com :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В ядре стоит 6506 (SUP720)

Выяснилось, что от абонентов массово сыпется ICMPv6 и DHCPv6.

Заблокировать это на доступе - не могу.

Можно ли порезать это в ядре ?

а смысл блокировать это на каталисте? оно же в пределах одного широковещательного домена. Надо именно на доступе.. И причем не конкретно эти протоколы, а левый мультикаст, на основании которого клиентские машины договариваются о настройках ipv6.

Тоже интересуюсь этой темой, там еще такие вещи можно с виндами вытворять с клиентскими...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

>а смысл блокировать это на каталисте?

В топике ясно написано.

"Заблокировать это на доступе - не могу."

 

 

>И причем не конкретно эти протоколы, а левый мультикаст, на основании которого клиентские машины договариваются о настройках ipv6.

Во первых не мультикаст, а броадкаст.

Во вторых эти протоколы как раз оно и есть.

 

 

>вам лучше vlan acl сделать

1. vlan acl умеет выделять тип езернет протокола ? Можно пример ?

Тут я не нашел: Ссылка

 

Мой вариант похож на рис. 35-1:

Ссылка

 

2. Как vlan acl повесить на L2 интерфейс ?

Изменено пользователем Ivan Rostovikov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тут пишут, что в VACL ipv6 не поддерживатся, по крайней мере для редиректа:

 

http://www.cisco.com/en/US/tech/tk389/tk81...0808122ac.shtml

Note: VACL is not supported with IPv6 on a Catalyst 6000 series switch. In other words, VLAN ACL redirect and IPv6 are not compatible so ACL cannot be used to match IPv6 traffic.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А тогда вопрос. Это что, можно настроить IPv6 сеть и спокойно гонять трафик ч-з 65 каталист?

Если кто в курсе - просветите по вопросу, пожалуйста. Очень интересно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А тогда вопрос. Это что, можно настроить IPv6 сеть и спокойно гонять трафик ч-з 65 каталист?

Если кто в курсе - просветите по вопросу, пожалуйста. Очень интересно.

нет так не получится

именно поэтому я и спрашиваю у автора зачем ему блокировать это на каталисте если трафик дальше него все равно не уйдет

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

IPV6 трафик (в частности ICMPv6 и DHCPv6) свободно гуляют внутри 1-го влана. Между портами L2.

6500 у меня - ядро PPPoE сети.

Все порты - члены одного PPPoE влана (L2). На каждый порт приходится по 100-500 хостов.

Трафик между портами сегментирован механизмом "Private Hosts", Но как выяснилось это не блокирует широковыщательный IPv6 трафик.

:-(

У меня подозрение, что и другие производителя грешат подобным.

Например Dlink 3627. Для проверки прописал правило на все порты "запретить все". И получил на выходе - IPv6 мультикаст :-(((

Изменено пользователем Ivan Rostovikov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А какие проблемы создает этот трафик?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ICMPv6 и DHCPv6 - от этих пакетов заполняются таблицы MAC адресов в коммутаторах доступа. Для DES 3028 - крайне актуально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ICMPv6 и DHCPv6 - от этих пакетов заполняются таблицы MAC адресов в коммутаторах доступа. Для DES 3028 - крайне актуально.
для 3028 это актуально, да, но таким образом вы проблему не решите, надо уменьшать размеры броадкаст-доменов, а не фильтровать, даже если у вас и получится это сделать на 65-ом, то количество маков на 3028 не уменьшится

У нас впринципе та же ситуация и теже коммутаторы доступа, на которых этот мусор не блокируется.

Поэтому вам проще в таком случае 1 порт 65 - 1 вилан. особенно если на каждый порт приходится 100-500 маков..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

>надо уменьшать размеры броадкаст-доменов, а не фильтровать

 

Вы невнимательно читаете мои посты.

Трафик между портами сегментирован механизмом "Private Hosts", Но как выяснилось это не блокирует широковыщательный IPv6 трафик.

:-(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.