[Predator56]

Всем привет! Вопрос по коммутатору Alcatel Lucent OS 6850 U24X.

Настроил несколько интерфейсов, несколько ВЛАНОВ. Распределил между портами.

Сейчас с любого порта имеется доступ к web интерфейсу коммутатора по IP адресу интерфейса.

Хочется, чтобы был доступ к web интерфейсу только с конкретного порта.

В связи с этим вопрос: можно ли выполнить такую настройку без применения политик? или по-другому никак?

[pppoetest]

Вынести менедж интерфейс в отдельный влан.

[Predator56]

Вынести менедж интерфейс в отдельный влан.

отдельный VLAN у меня отвечает за управление. Для него отдельный интерфейс. У интерфейса отдельный порт. Только как отключить веб доступ для конкретного интерфейса? В настройках нашел только как отключить для всего коммутатора.

[vvas]

Добрый день.

Добавлю вопрос: как можно на ALcatel 6850 ограничить доступ на его management (SSH, HTTPS) и SNMP с конкретных IP адресов?

(Как у Cisco "access-class" на "line vty 0 4" и "snmp-server community XXXXXXXXX RO 2")

 

Спасибо.

[dmvy]

ip rule. в качестве destination использовать группу SWITCH (в ней все localip хранятся)

[vvas]

ip rule. в качестве destination использовать группу SWITCH (в ней все localip хранятся)

Примером не поделитесь?

(можно в приват)

Спасибо.

[dmvy]

policy network group Trusted 10.66.66.66 10.10.10.0 mask 255.255.255.0
policy condition to-me-http-trusted source network group Trusted destination network group Switch destination tcp port 80
policy condition to-me-http-blocked destination network group Switch destination tcp port 80
policy action accept
policy action drop disposition drop
policy rule rule-to-me-http-trusted precedence 17003 condition to-me-http-trusted action accept
policy rule rule-to-me-http-blocked precedence 17000 condition to-me-http-blocked action drop

qos apply

[vvas]

Попробовал написать правила для ограничения SSH, HTTPS, SNMP:

 

policy service HTTPS protocol 6 destination tcp port 443
policy service SSH protocol 6 destination tcp port 22
policy service SNMP protocol 17 destination udp port 161
policy service group MANAGEMENT_PROTOCOL HTTPS SSH
policy service group NMS_PROTOCOL SNMP 
policy network group MANAGEMENT_TRUSTED xx.xx.xx.xx mask 255.255.255.240 zz.zz.zz.zz
policy network group SNMP_TRUSTED aa.aa.aa.aa bb.bb.bb.bb

policy condition TO-ME-MANAGEMENT-TRUSTED source network group MANAGEMENT_TRUSTED destination network group Switch service group MANAGEMENT_PROTOCOL
policy condition TO-ME-MANAGEMENT-BLOCK destination network group Switch service group MANAGEMENT_PROTOCOL
policy condition TO-ME-NMS-TRUSTED source network group SNMP_TRUSTED destination network group Switch service group NMS_PROTOCOL
policy condition TO-ME-NMS-BLOCK destination network group Switch service group NMS_PROTOCOL

policy action ACCEPT
policy action DROP disposition drop

policy rule RULE-TO-ME-MANAGEMENT-TRUSTED precedence 17003 condition TO-ME-MANAGEMENT-TRUSTED action ACCEPT
policy rule RULE-TO-ME-MANAGEMENT-BLOCK precedence 17000 condition TO-ME-MANAGEMENT-BLOCK action DROP log
policy rule RULE-TO-ME-NMS-TRUSTED precedence 16997 condition TO-ME-NMS-TRUSTED action ACCEPT
policy rule RULE-TO-ME-NMS-BLOCK precedence 16994 condition TO-ME-NMS-BLOCK action DROP log

qos apply

 

Поправьте, если где ошибся.

 

Вопрос: По умолчанию все, что не попадает под явные правила - пропускается?

Поясните смысл параметра "disposition" в policy action.

 

Спасибо.

[dmvy]

Серьёзных ошибок не вижу. Это глобальные acl. Они действуют на все порты и на весь трафик. В condition для других правил можно использовать условием и порт. По умолчанию трафик пропускается, который не попал ни под одно из правил. Про disposition не вспомню - лучше доку почитать или подсказку в cli. Правила можно писать какие угодно - применятся они только после qos apply. Посмотретьчто получилось можно командой show policy rule. Со знаком + будет показано, что изменится.