Jump to content
Калькуляторы

Ограничение WEB доступа Alcatel Lucent OS 6850 U24X

Всем привет! Вопрос по коммутатору Alcatel Lucent OS 6850 U24X.

Настроил несколько интерфейсов, несколько ВЛАНОВ. Распределил между портами.

Сейчас с любого порта имеется доступ к web интерфейсу коммутатора по IP адресу интерфейса.

Хочется, чтобы был доступ к web интерфейсу только с конкретного порта.

В связи с этим вопрос: можно ли выполнить такую настройку без применения политик? или по-другому никак?

Share this post


Link to post
Share on other sites

Вынести менедж интерфейс в отдельный влан.

отдельный VLAN у меня отвечает за управление. Для него отдельный интерфейс. У интерфейса отдельный порт. Только как отключить веб доступ для конкретного интерфейса? В настройках нашел только как отключить для всего коммутатора.

Share this post


Link to post
Share on other sites

Добрый день.

Добавлю вопрос: как можно на ALcatel 6850 ограничить доступ на его management (SSH, HTTPS) и SNMP с конкретных IP адресов?

(Как у Cisco "access-class" на "line vty 0 4" и "snmp-server community XXXXXXXXX RO 2")

 

Спасибо.

Share this post


Link to post
Share on other sites

ip rule. в качестве destination использовать группу SWITCH (в ней все localip хранятся)

Примером не поделитесь?

(можно в приват)

Спасибо.

Share this post


Link to post
Share on other sites

policy network group Trusted 10.66.66.66 10.10.10.0 mask 255.255.255.0
policy condition to-me-http-trusted source network group Trusted destination network group Switch destination tcp port 80
policy condition to-me-http-blocked destination network group Switch destination tcp port 80
policy action accept
policy action drop disposition drop
policy rule rule-to-me-http-trusted precedence 17003 condition to-me-http-trusted action accept
policy rule rule-to-me-http-blocked precedence 17000 condition to-me-http-blocked action drop

qos apply

Share this post


Link to post
Share on other sites

Попробовал написать правила для ограничения SSH, HTTPS, SNMP:

 

policy service HTTPS protocol 6 destination tcp port 443
policy service SSH protocol 6 destination tcp port 22
policy service SNMP protocol 17 destination udp port 161
policy service group MANAGEMENT_PROTOCOL HTTPS SSH
policy service group NMS_PROTOCOL SNMP 
policy network group MANAGEMENT_TRUSTED xx.xx.xx.xx mask 255.255.255.240 zz.zz.zz.zz
policy network group SNMP_TRUSTED aa.aa.aa.aa bb.bb.bb.bb

policy condition TO-ME-MANAGEMENT-TRUSTED source network group MANAGEMENT_TRUSTED destination network group Switch service group MANAGEMENT_PROTOCOL
policy condition TO-ME-MANAGEMENT-BLOCK destination network group Switch service group MANAGEMENT_PROTOCOL
policy condition TO-ME-NMS-TRUSTED source network group SNMP_TRUSTED destination network group Switch service group NMS_PROTOCOL
policy condition TO-ME-NMS-BLOCK destination network group Switch service group NMS_PROTOCOL

policy action ACCEPT
policy action DROP disposition drop

policy rule RULE-TO-ME-MANAGEMENT-TRUSTED precedence 17003 condition TO-ME-MANAGEMENT-TRUSTED action ACCEPT
policy rule RULE-TO-ME-MANAGEMENT-BLOCK precedence 17000 condition TO-ME-MANAGEMENT-BLOCK action DROP log
policy rule RULE-TO-ME-NMS-TRUSTED precedence 16997 condition TO-ME-NMS-TRUSTED action ACCEPT
policy rule RULE-TO-ME-NMS-BLOCK precedence 16994 condition TO-ME-NMS-BLOCK action DROP log

qos apply


 

Поправьте, если где ошибся.

 

Вопрос: По умолчанию все, что не попадает под явные правила - пропускается?

Поясните смысл параметра "disposition" в policy action.

 

Спасибо.

Share this post


Link to post
Share on other sites

Серьёзных ошибок не вижу. Это глобальные acl. Они действуют на все порты и на весь трафик. В condition для других правил можно использовать условием и порт. По умолчанию трафик пропускается, который не попал ни под одно из правил. Про disposition не вспомню - лучше доку почитать или подсказку в cli. Правила можно писать какие угодно - применятся они только после qos apply. Посмотретьчто получилось можно командой show policy rule. Со знаком + будет показано, что изменится.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.