[kss85]

Доброго времени суток.

 

Исходные данные :

 

коммутатор SNR-S2960-24G

 

switch#sh version

SNR-S2960-24G Device, Compiled on Apr 25 02:22:54 2013

sysLocation Ak.Vonsovskogo str. 1-118, Ekaterinburg, Russia

CPU Mac 00:03:0f:2b:c4:93

Vlan MAC 00:03:0f:2b:c4:92

SoftWare Version 7.0.3.1(R0002.0033)

BootRom Version 7.1.3

HardWare Version 1.0.2

CPLD Version 1.2

Serial No.:SW025510D120000441

Copyright © 2013 NAG LLC

All rights reserved

 

Выполняю следующие действия :

 

firewall enable

!

ip access-list standard test

deny any-source

exit

!

Interface Ethernet1/8

ip access-group test in

 

 

Трафик через порт 1/8 продолжает ходить (управляемый ip адрес коммутатора пингуется с пк подключенного к этому порту)

Что не так?

[kss85]

откат с 7 версии ПО на 6 может помочь ?

[n0_name]

Обратитесь в техподдержку компании НАГ support@nag.ru

В обращении желательно указать номер счета, быстрее отвечают.

[sexst]

Не имел плотно с ними дела. А может трафик на сам коммутатор не попадает под ingress, а фильтруется каким-нибудь cpu acl?

[kss85]

Да нет, судя по всему вообще ничего не фильтруется...

[alibek]

А если навесить на интерфейсный VLAN? Или VLAN транзитные?

На QTECH QSW-2800 ACL у меня работают (а это идентичные коммутаторы).

[srg555]

а трафик вообще ipoe? или может быть pppoe? попробуйте мак ацл вместо ip acl

[kss85]

трафик как раз ipoe

[sexst]

Да нет, судя по всему вообще ничего не фильтруется...

Дыг вы хоть пробовали cpu acl создавать? Потому что в манах к свитчу они упоминаются, значит аппаратной фильтрации трафика к свитчу там нет.

Сквозной трафик через свитч в 8 порту ходит?

[kss85]

А как создать cpu acl ? В документации об этом ни слова

[tractor_driver]

А как создать cpu acl ? В документации об этом ни слова

 

если мне не изменяет память различий в создании нет, но когда применяешь на интерфейсе надо :

 

Interface Ethernet1/8

ip access-group test in <вот тут high чего то там>

 

после этого начинает фильтроваться все то что идет на проц.

Если ошибаюсь кто нибудь поправит меня.

[lepon]

А как создать cpu acl ? В документации об этом ни слова

 

если мне не изменяет память различий в создании нет, но когда применяешь на интерфейсе надо :

 

Interface Ethernet1/8

ip access-group test in <вот тут high чего то там>

 

после этого начинает фильтроваться все то что идет на проц.

Если ошибаюсь кто нибудь поправит меня.

 

SNR-S2960-24G ACL block ARP flood когда TP-LINK подключают в LAN порт 20к pps таких пакетов:

13:32:30.105082 a0:f3:c1:ad:20:dc > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 64: vlan 22, p 0, ethertype ARP, Request who-has 192.168.0.1 tell 192.168.0.1, length 46

a0-f3-c1-ad-20-dc

 

----------------------------------------------------------

 

mac-access-list extended nomac

deny host-source-mac a0-f3-c1-ad-20-dc any-destination-mac

exit

 

int eth 1/24

mac access-group nomac in priority-high

 

----------------------------------------------------------