ACL для коммутаторов доступа.

[ifndx]

 

А

address 172.16.16.3/32 {
           primary;
           preferred;
       }

 

на 172.16.16.3/29

 

И будет порядок, все запросы будут летать с SIP:172.16.16.4, а квериром будет 172.16.16.3 как самый младший адрес.

 

 

это сделано осознанно для MPLS/OSPF/RSVP.

а чем плох ACL который уже работает как нужно?:)

[vurd]

Да ничем, просто вы решаете проблему, которой нет. Непонятный какой-то дизайн. Ну да ладно, дело ваше :)

[hsvt]

Понадобилось написать ACL для DGS-1210-28/ME и встал вопрос - желательно ли резать порты 3587,5357,5358,5000 и еще тут в начале всякие AppleTalk писали в правилах, нужно ли это сейчас? Или хватит стандартно 135 139 138 445 1900 2869 ? Были ли какие то проблемы у абонентов после этих правил?

Edited May 22, 2015 by hsvt

[dmvy]

лучше сделать traffic segmentation и отфильтровать на агрегации

[hsvt]

На агрегации ZyXEL... ну очень не удобный там функционал написания ACL или еще просто не привыкли.

 

Кстати, есть абоненты (соседи по свичику), которым нужен доступ между портами. Если они в одной сети, то доступ можно получить при помощи маршрута на соседа на шлюз с каждой стороны. То есть по л2 доступа нет, а по л3 появляется. В результате и овцы сыты и волки целы.

 

Изоляюцию портов не совсем подходит.

[ilili]

Мужчины, подскажите по ACL ДЛинка:

DGS3200-10 - раньше скорость резал на порту клиента и на аплинке по влану следующим образом

 

create access_profile profile_id 40 ip destination_ip_mask 0.0.0.0 
config access_profile profile_id 40 add access_id 1 ip destination_ip 0.0.0.0  port 1 permit priority 1 replace_priority replace_dscp 10 rx_rate 8000 
create access_profile profile_id 41 ip vlan destination_ip_mask 0.0.0.0         
config access_profile profile_id 41 add access_id 1 ip vlan 2291 destination_ip 0.0.0.0  port 10 permit rx_rate 8000 

 

Сейчас есть новый коммутатор DGS-1510-28X/ME, каким образом на нем можно реализовать подобное? Функционал с rx_rate там недоступен. Как я понял, этот функционал теперь в flow_meter ?

 

 

Будут ли верны следующие правила ?

 

create access_profile profile_id 40 ip destination_ip_mask 0.0.0.0 
config access_profile profile_id 40 add access_id 1 ip destination_ip 0.0.0.0 port 1 permit priority 1 replace_priority replace_dscp 10 
create access_profile profile_id 41 ip vlan destination_ip_mask 0.0.0.0 
config access_profile profile_id 41 add access_id 1 ip vlan_id 2291 destination_ip 0.0.0.0 port 28 permit 
config flow_meter profile_id 40 access_id 1 sr_tcm cir 8000 cbs 12000 ebs 24000 color_blind conform permit exceed permit violate drop counter enable
config flow_meter profile_id 41 access_id 1 sr_tcm cir 8000 cbs 12000 ebs 24000 color_blind conform permit exceed permit violate drop counter enable

Edited December 25, 2015 by ilili

[[anp/hsw]]

Подниму-ка я тему!

Коллеги, как обстоят дела с acl у тех, кто еще не перешел (или наоборот ушел) от vlan-per-user?

Что было 10 лет назад - и так понятно. А сейчас?

Что фильтруют в межабонентском трафике смелые духом?

 

начну сам, с некрофилии:

Запрет dhcp, dhcpv6, ipv6 ra, pppoe серверов на des3526. Запрещаем присваивать клиентов из диапазона mac адресов шлюзов.

В остальном никак не ограничиваем - arp, ipv4, ipv6 пропускаем.

Цитата

echo "## ACL TYPE: 3526
# filter source mac and gateway address range
create access_profile ethernet source_mac FF-FF-FF-FF-00-00 profile_id 5
# filter source ipv4 (for gateway)
create access_profile ip source_ip_mask 255.255.255.255 profile_id 6
# dhcp answer
create access_profile ip udp dst_port_mask 0xFFFF profile_id 7
# ipv6 RA answer + vrrp multicast (filter dst mac)
create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF profile_id 8
# deny answer to pppoe discovery (if pppoe circuit id insertion is used, must use CPU access profile)
create access_profile packet_content_mask offset_16-31 0xFFFF00FF 0x0 0x0 0x0 profile_id 10
# ipv6 dhcp answer (filter ipv6 udp dport 546)
create access_profile packet_content_mask offset_16-31 0xFFFF0000 0x0 0xFF000000 0x0 offset_48-63 0x0 0x0 0x0 0xFFFF0000 profile_id 11
# allow by ethertype (ipv4, arp, ipv6, pppoe sess, pppoe data)
create access_profile ethernet ethernet_type profile_id 12
# set default policy
create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 14
# CPU PPPOE profile
create cpu access_profile packet_content_mask offset_16-31 0xFFFF00FF 0x0 0x0 0x0 profile_id 1
"

for CLIENT in ${CLPORTS}
do
echo "config access_profile profile_id 5 add access_id auto_assign ethernet source_mac 00-00-00-00-00-00 port ${CLIENT} deny
config access_profile profile_id 5 add access_id auto_assign ethernet source_mac FF-FF-FF-FF-00-00 port ${CLIENT} deny
config access_profile profile_id 5 add access_id auto_assign ethernet source_mac Ш-Л-Ю-З-00-00 port ${CLIENT} deny
config access_profile profile_id 5 add access_id auto_assign ethernet source_mac Ш-Л-Ю-З-00-00 port ${CLIENT} deny
config access_profile profile_id 7 add access_id auto_assign ip udp dst_port 68 port ${CLIENT} deny
config access_profile profile_id 8 add access_id auto_assign ethernet destination_mac 33-33-00-00-00-01 port ${CLIENT} deny
config access_profile profile_id 8 add access_id auto_assign ethernet destination_mac 33-33-00-00-00-FB port ${CLIENT} deny
config access_profile profile_id 8 add access_id auto_assign ethernet destination_mac 01-00-5E-00-00-12 port ${CLIENT} deny
config access_profile profile_id 8 add access_id auto_assign ethernet destination_mac 01-00-5E-00-00-FB port ${CLIENT} deny
config access_profile profile_id 10 add access_id auto_assign packet_content_mask offset_16-31 0x88630007 0x0 0x0 0x0 port ${CLIENT} deny
config access_profile profile_id 11 add access_id auto_assign packet_content_mask offset_16-31 0x86dd0000 0x0 0x11000000 0x0 offset_48-63 0x0 0x0 0x0 0x02220000 port ${CLIENT} deny
config access_profile profile_id 12 add access_id auto_assign ethernet ethernet_type 0x0800 port ${CLIENT} permit
config access_profile profile_id 12 add access_id auto_assign ethernet ethernet_type 0x0806 port ${CLIENT} permit
config access_profile profile_id 12 add access_id auto_assign ethernet ethernet_type 0x86dd port ${CLIENT} permit
config access_profile profile_id 12 add access_id auto_assign ethernet ethernet_type 0x8863 port ${CLIENT} permit
config access_profile profile_id 12 add access_id auto_assign ethernet ethernet_type 0x8864 port ${CLIENT} permit
config access_profile profile_id 12 add access_id auto_assign ethernet ethernet_type 0x8100 port ${CLIENT} permit
config access_profile profile_id 14 add access_id auto_assign ethernet source_mac 00-00-00-00-00-00 port ${CLIENT} deny"
    for SRVIP in ${SERVERIPS}
    do
        echo "config access_profile profile_id 6 add access_id auto_assign ip source_ip ${SRVIP} port ${CLIENT} deny"
    done

    echo "config cpu access_profile profile_id 1 add access_id ${CPU_ACCESSID} packet_content offset_16-31 0x88630007 0x0 0x0 0x0 port ${CLIENT} deny"
    CPU_ACCESSID=$((CPU_ACCESSID+1));
done

for UPLINK in ${UPPORTS}
do
    echo "config access_profile profile_id 14 add access_id auto_assign ethernet source_mac 00-00-00-00-00-00 port ${UPLINK} permit"
done

 

pon-дерево eltex ltp 4x/8x, задача та же:

Цитата

ip access-list extended client-l3
deny udp any any any 68 dscp any mac any any vlan any cos any ethertype 0x0800 0xFFFF index 1
permit any any any dscp any mac any any vlan any cos any ethertype 0x0800 0xFFFF index 15
permit any any any dscp any mac any any vlan any cos any ethertype 0x0806 0xFFFF index 16
permit any any any dscp any mac any any vlan any cos any ethertype 0x86DD 0xFFFF index 17
permit any any any dscp any mac any any vlan any cos any ethertype 0x8863 0xFFFF index 18
permit any any any dscp any mac any any vlan any cos any ethertype 0x8864 0xFFFF index 19
deny any any any precedence any index 20
exit
mac access-list extended client-l2
offset-list PADO l2 19 FF 07
offset-list DHCPV6 l2 24 FF 11 l2 60 FF 02 l2 61 FF 22
deny 00:00:00:00:00:00 FF:FF:FF:FF:FF:FF any vlan any cos any ethertype any index 1
deny FF:FF:FF:FF:FF:FF FF:FF:FF:FF:FF:FF any vlan any cos any ethertype any index 2
deny Ш:Л:Ю:З:00:00 FF:FF:FF:FF:00:00 any vlan any cos any ethertype any index 3
deny Ш:Л:Ю:З:00:00 FF:FF:FF:FF:00:00 any vlan any cos any ethertype any index 4
deny any 33:33:00:00:00:12 FF:FF:FF:FF:FF:FF vlan any cos any ethertype any index 5
deny any 33:33:00:00:00:FB FF:FF:FF:FF:FF:FF vlan any cos any ethertype any index 6
deny any 01:00:5E:00:00:12 FF:FF:FF:FF:FF:FF vlan any cos any ethertype any index 7
deny any 01:00:5E:00:00:FB FF:FF:FF:FF:FF:FF vlan any cos any ethertype any index 8
deny any any vlan any cos any ethertype 0x8863 0xFFFF offset-list PADO index 10
deny any any vlan any cos any ethertype 0x86DD 0xFFFF offset-list DHCPV6 index 11
exit

 

В последнем случае ситуация осложняется тем, что глобально на вцю железку можно определить только 5 дополнительных байт в пакете, по которым можно фильтровать (и 4 из них уже используются), а также тем, что одновременное использование l2 и l3 acl дает неадекватные результаты (по дефолту оба blacklist, но если одновременно использовать, то трафик в конце надо явно или запрещать или разрешать).

 

Сейчас самое время разрешть межабонентский трафик, пока еще не поздно, кому это позволяет ситуация)