Predator56 Posted August 4, 2014 Всем привет! Вопрос по коммутатору Alcatel Lucent OS 6850 U24X. Настроил несколько интерфейсов, несколько ВЛАНОВ. Распределил между портами. Сейчас с любого порта имеется доступ к web интерфейсу коммутатора по IP адресу интерфейса. Хочется, чтобы был доступ к web интерфейсу только с конкретного порта. В связи с этим вопрос: можно ли выполнить такую настройку без применения политик? или по-другому никак? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pppoetest Posted August 4, 2014 Вынести менедж интерфейс в отдельный влан. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Predator56 Posted August 4, 2014 Вынести менедж интерфейс в отдельный влан. отдельный VLAN у меня отвечает за управление. Для него отдельный интерфейс. У интерфейса отдельный порт. Только как отключить веб доступ для конкретного интерфейса? В настройках нашел только как отключить для всего коммутатора. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vvas Posted December 1, 2014 Добрый день. Добавлю вопрос: как можно на ALcatel 6850 ограничить доступ на его management (SSH, HTTPS) и SNMP с конкретных IP адресов? (Как у Cisco "access-class" на "line vty 0 4" и "snmp-server community XXXXXXXXX RO 2") Спасибо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dmvy Posted December 1, 2014 ip rule. в качестве destination использовать группу SWITCH (в ней все localip хранятся) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vvas Posted December 1, 2014 ip rule. в качестве destination использовать группу SWITCH (в ней все localip хранятся) Примером не поделитесь? (можно в приват) Спасибо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dmvy Posted December 1, 2014 policy network group Trusted 10.66.66.66 10.10.10.0 mask 255.255.255.0 policy condition to-me-http-trusted source network group Trusted destination network group Switch destination tcp port 80 policy condition to-me-http-blocked destination network group Switch destination tcp port 80 policy action accept policy action drop disposition drop policy rule rule-to-me-http-trusted precedence 17003 condition to-me-http-trusted action accept policy rule rule-to-me-http-blocked precedence 17000 condition to-me-http-blocked action drop qos apply Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vvas Posted December 1, 2014 Попробовал написать правила для ограничения SSH, HTTPS, SNMP: policy service HTTPS protocol 6 destination tcp port 443 policy service SSH protocol 6 destination tcp port 22 policy service SNMP protocol 17 destination udp port 161 policy service group MANAGEMENT_PROTOCOL HTTPS SSH policy service group NMS_PROTOCOL SNMP policy network group MANAGEMENT_TRUSTED xx.xx.xx.xx mask 255.255.255.240 zz.zz.zz.zz policy network group SNMP_TRUSTED aa.aa.aa.aa bb.bb.bb.bb policy condition TO-ME-MANAGEMENT-TRUSTED source network group MANAGEMENT_TRUSTED destination network group Switch service group MANAGEMENT_PROTOCOL policy condition TO-ME-MANAGEMENT-BLOCK destination network group Switch service group MANAGEMENT_PROTOCOL policy condition TO-ME-NMS-TRUSTED source network group SNMP_TRUSTED destination network group Switch service group NMS_PROTOCOL policy condition TO-ME-NMS-BLOCK destination network group Switch service group NMS_PROTOCOL policy action ACCEPT policy action DROP disposition drop policy rule RULE-TO-ME-MANAGEMENT-TRUSTED precedence 17003 condition TO-ME-MANAGEMENT-TRUSTED action ACCEPT policy rule RULE-TO-ME-MANAGEMENT-BLOCK precedence 17000 condition TO-ME-MANAGEMENT-BLOCK action DROP log policy rule RULE-TO-ME-NMS-TRUSTED precedence 16997 condition TO-ME-NMS-TRUSTED action ACCEPT policy rule RULE-TO-ME-NMS-BLOCK precedence 16994 condition TO-ME-NMS-BLOCK action DROP log qos apply Поправьте, если где ошибся. Вопрос: По умолчанию все, что не попадает под явные правила - пропускается? Поясните смысл параметра "disposition" в policy action. Спасибо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dmvy Posted December 1, 2014 Серьёзных ошибок не вижу. Это глобальные acl. Они действуют на все порты и на весь трафик. В condition для других правил можно использовать условием и порт. По умолчанию трафик пропускается, который не попал ни под одно из правил. Про disposition не вспомню - лучше доку почитать или подсказку в cli. Правила можно писать какие угодно - применятся они только после qos apply. Посмотретьчто получилось можно командой show policy rule. Со знаком + будет показано, что изменится. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...