Jump to content
Калькуляторы

Проблема с acl на коммутаторе snr-s2960-24g

Доброго времени суток.

 

Исходные данные :

 

коммутатор SNR-S2960-24G

 

switch#sh version

SNR-S2960-24G Device, Compiled on Apr 25 02:22:54 2013

sysLocation Ak.Vonsovskogo str. 1-118, Ekaterinburg, Russia

CPU Mac 00:03:0f:2b:c4:93

Vlan MAC 00:03:0f:2b:c4:92

SoftWare Version 7.0.3.1(R0002.0033)

BootRom Version 7.1.3

HardWare Version 1.0.2

CPLD Version 1.2

Serial No.:SW025510D120000441

Copyright © 2013 NAG LLC

All rights reserved

 

Выполняю следующие действия :

 

firewall enable

!

ip access-list standard test

deny any-source

exit

!

Interface Ethernet1/8

ip access-group test in

 

 

Трафик через порт 1/8 продолжает ходить (управляемый ip адрес коммутатора пингуется с пк подключенного к этому порту)

Что не так?

Share this post


Link to post
Share on other sites

Обратитесь в техподдержку компании НАГ support@nag.ru

В обращении желательно указать номер счета, быстрее отвечают.

Share this post


Link to post
Share on other sites

Не имел плотно с ними дела. А может трафик на сам коммутатор не попадает под ingress, а фильтруется каким-нибудь cpu acl?

Share this post


Link to post
Share on other sites

Да нет, судя по всему вообще ничего не фильтруется...

Share this post


Link to post
Share on other sites

А если навесить на интерфейсный VLAN? Или VLAN транзитные?

На QTECH QSW-2800 ACL у меня работают (а это идентичные коммутаторы).

Share this post


Link to post
Share on other sites

а трафик вообще ipoe? или может быть pppoe? попробуйте мак ацл вместо ip acl

Share this post


Link to post
Share on other sites

Да нет, судя по всему вообще ничего не фильтруется...

Дыг вы хоть пробовали cpu acl создавать? Потому что в манах к свитчу они упоминаются, значит аппаратной фильтрации трафика к свитчу там нет.

Сквозной трафик через свитч в 8 порту ходит?

Share this post


Link to post
Share on other sites

А как создать cpu acl ? В документации об этом ни слова

Share this post


Link to post
Share on other sites

А как создать cpu acl ? В документации об этом ни слова

 

если мне не изменяет память различий в создании нет, но когда применяешь на интерфейсе надо :

 

Interface Ethernet1/8

ip access-group test in <вот тут high чего то там>

 

после этого начинает фильтроваться все то что идет на проц.

Если ошибаюсь кто нибудь поправит меня.

Share this post


Link to post
Share on other sites

А как создать cpu acl ? В документации об этом ни слова

 

если мне не изменяет память различий в создании нет, но когда применяешь на интерфейсе надо :

 

Interface Ethernet1/8

ip access-group test in <вот тут high чего то там>

 

после этого начинает фильтроваться все то что идет на проц.

Если ошибаюсь кто нибудь поправит меня.

 

SNR-S2960-24G ACL block ARP flood когда TP-LINK подключают в LAN порт 20к pps таких пакетов:

13:32:30.105082 a0:f3:c1:ad:20:dc > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 64: vlan 22, p 0, ethertype ARP, Request who-has 192.168.0.1 tell 192.168.0.1, length 46

a0-f3-c1-ad-20-dc

 

----------------------------------------------------------

 

mac-access-list extended nomac

deny host-source-mac a0-f3-c1-ad-20-dc any-destination-mac

exit

 

int eth 1/24

mac access-group nomac in priority-high

 

----------------------------------------------------------

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this