Predator56 Posted August 4, 2014 · Report post Всем привет! Вопрос по коммутатору Alcatel Lucent OS 6850 U24X. Настроил несколько интерфейсов, несколько ВЛАНОВ. Распределил между портами. Сейчас с любого порта имеется доступ к web интерфейсу коммутатора по IP адресу интерфейса. Хочется, чтобы был доступ к web интерфейсу только с конкретного порта. В связи с этим вопрос: можно ли выполнить такую настройку без применения политик? или по-другому никак? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pppoetest Posted August 4, 2014 · Report post Вынести менедж интерфейс в отдельный влан. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Predator56 Posted August 4, 2014 · Report post Вынести менедж интерфейс в отдельный влан. отдельный VLAN у меня отвечает за управление. Для него отдельный интерфейс. У интерфейса отдельный порт. Только как отключить веб доступ для конкретного интерфейса? В настройках нашел только как отключить для всего коммутатора. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vvas Posted December 1, 2014 · Report post Добрый день. Добавлю вопрос: как можно на ALcatel 6850 ограничить доступ на его management (SSH, HTTPS) и SNMP с конкретных IP адресов? (Как у Cisco "access-class" на "line vty 0 4" и "snmp-server community XXXXXXXXX RO 2") Спасибо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dmvy Posted December 1, 2014 · Report post ip rule. в качестве destination использовать группу SWITCH (в ней все localip хранятся) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vvas Posted December 1, 2014 · Report post ip rule. в качестве destination использовать группу SWITCH (в ней все localip хранятся) Примером не поделитесь? (можно в приват) Спасибо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dmvy Posted December 1, 2014 · Report post policy network group Trusted 10.66.66.66 10.10.10.0 mask 255.255.255.0 policy condition to-me-http-trusted source network group Trusted destination network group Switch destination tcp port 80 policy condition to-me-http-blocked destination network group Switch destination tcp port 80 policy action accept policy action drop disposition drop policy rule rule-to-me-http-trusted precedence 17003 condition to-me-http-trusted action accept policy rule rule-to-me-http-blocked precedence 17000 condition to-me-http-blocked action drop qos apply Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vvas Posted December 1, 2014 · Report post Попробовал написать правила для ограничения SSH, HTTPS, SNMP: policy service HTTPS protocol 6 destination tcp port 443 policy service SSH protocol 6 destination tcp port 22 policy service SNMP protocol 17 destination udp port 161 policy service group MANAGEMENT_PROTOCOL HTTPS SSH policy service group NMS_PROTOCOL SNMP policy network group MANAGEMENT_TRUSTED xx.xx.xx.xx mask 255.255.255.240 zz.zz.zz.zz policy network group SNMP_TRUSTED aa.aa.aa.aa bb.bb.bb.bb policy condition TO-ME-MANAGEMENT-TRUSTED source network group MANAGEMENT_TRUSTED destination network group Switch service group MANAGEMENT_PROTOCOL policy condition TO-ME-MANAGEMENT-BLOCK destination network group Switch service group MANAGEMENT_PROTOCOL policy condition TO-ME-NMS-TRUSTED source network group SNMP_TRUSTED destination network group Switch service group NMS_PROTOCOL policy condition TO-ME-NMS-BLOCK destination network group Switch service group NMS_PROTOCOL policy action ACCEPT policy action DROP disposition drop policy rule RULE-TO-ME-MANAGEMENT-TRUSTED precedence 17003 condition TO-ME-MANAGEMENT-TRUSTED action ACCEPT policy rule RULE-TO-ME-MANAGEMENT-BLOCK precedence 17000 condition TO-ME-MANAGEMENT-BLOCK action DROP log policy rule RULE-TO-ME-NMS-TRUSTED precedence 16997 condition TO-ME-NMS-TRUSTED action ACCEPT policy rule RULE-TO-ME-NMS-BLOCK precedence 16994 condition TO-ME-NMS-BLOCK action DROP log qos apply Поправьте, если где ошибся. Вопрос: По умолчанию все, что не попадает под явные правила - пропускается? Поясните смысл параметра "disposition" в policy action. Спасибо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dmvy Posted December 1, 2014 · Report post Серьёзных ошибок не вижу. Это глобальные acl. Они действуют на все порты и на весь трафик. В condition для других правил можно использовать условием и порт. По умолчанию трафик пропускается, который не попал ни под одно из правил. Про disposition не вспомню - лучше доку почитать или подсказку в cli. Правила можно писать какие угодно - применятся они только после qos apply. Посмотретьчто получилось можно командой show policy rule. Со знаком + будет показано, что изменится. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...