kss85 Опубликовано 19 декабря, 2013 · Жалоба Доброго времени суток. Исходные данные : коммутатор SNR-S2960-24G switch#sh version SNR-S2960-24G Device, Compiled on Apr 25 02:22:54 2013 sysLocation Ak.Vonsovskogo str. 1-118, Ekaterinburg, Russia CPU Mac 00:03:0f:2b:c4:93 Vlan MAC 00:03:0f:2b:c4:92 SoftWare Version 7.0.3.1(R0002.0033) BootRom Version 7.1.3 HardWare Version 1.0.2 CPLD Version 1.2 Serial No.:SW025510D120000441 Copyright © 2013 NAG LLC All rights reserved Выполняю следующие действия : firewall enable ! ip access-list standard test deny any-source exit ! Interface Ethernet1/8 ip access-group test in Трафик через порт 1/8 продолжает ходить (управляемый ip адрес коммутатора пингуется с пк подключенного к этому порту) Что не так? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kss85 Опубликовано 20 декабря, 2013 · Жалоба откат с 7 версии ПО на 6 может помочь ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
n0_name Опубликовано 20 декабря, 2013 · Жалоба Обратитесь в техподдержку компании НАГ support@nag.ru В обращении желательно указать номер счета, быстрее отвечают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sexst Опубликовано 20 декабря, 2013 · Жалоба Не имел плотно с ними дела. А может трафик на сам коммутатор не попадает под ingress, а фильтруется каким-нибудь cpu acl? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kss85 Опубликовано 23 декабря, 2013 · Жалоба Да нет, судя по всему вообще ничего не фильтруется... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 23 декабря, 2013 · Жалоба А если навесить на интерфейсный VLAN? Или VLAN транзитные? На QTECH QSW-2800 ACL у меня работают (а это идентичные коммутаторы). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
srg555 Опубликовано 23 декабря, 2013 · Жалоба а трафик вообще ipoe? или может быть pppoe? попробуйте мак ацл вместо ip acl Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kss85 Опубликовано 23 декабря, 2013 · Жалоба трафик как раз ipoe Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sexst Опубликовано 23 декабря, 2013 · Жалоба Да нет, судя по всему вообще ничего не фильтруется... Дыг вы хоть пробовали cpu acl создавать? Потому что в манах к свитчу они упоминаются, значит аппаратной фильтрации трафика к свитчу там нет. Сквозной трафик через свитч в 8 порту ходит? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kss85 Опубликовано 27 декабря, 2013 · Жалоба А как создать cpu acl ? В документации об этом ни слова Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tractor_driver Опубликовано 30 декабря, 2013 · Жалоба А как создать cpu acl ? В документации об этом ни слова если мне не изменяет память различий в создании нет, но когда применяешь на интерфейсе надо : Interface Ethernet1/8 ip access-group test in <вот тут high чего то там> после этого начинает фильтроваться все то что идет на проц. Если ошибаюсь кто нибудь поправит меня. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lepon Опубликовано 28 июня, 2014 · Жалоба А как создать cpu acl ? В документации об этом ни слова если мне не изменяет память различий в создании нет, но когда применяешь на интерфейсе надо : Interface Ethernet1/8 ip access-group test in <вот тут high чего то там> после этого начинает фильтроваться все то что идет на проц. Если ошибаюсь кто нибудь поправит меня. SNR-S2960-24G ACL block ARP flood когда TP-LINK подключают в LAN порт 20к pps таких пакетов: 13:32:30.105082 a0:f3:c1:ad:20:dc > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 64: vlan 22, p 0, ethertype ARP, Request who-has 192.168.0.1 tell 192.168.0.1, length 46 a0-f3-c1-ad-20-dc ---------------------------------------------------------- mac-access-list extended nomac deny host-source-mac a0-f3-c1-ad-20-dc any-destination-mac exit int eth 1/24 mac access-group nomac in priority-high ---------------------------------------------------------- Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...