Форум программистов, компьютерный форум, киберфорум
Наши страницы
Huawei
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.80/5: Рейтинг темы: голосов - 5, средняя оценка - 4.80
tolikadm
0 / 0 / 0
Регистрация: 07.06.2016
Сообщений: 7
1

Запрет доступа к определенным ip на 2326 tp-ei

07.06.2016, 15:47. Просмотров 990. Ответов 13
Метки нет (Все метки)

Добрый день!
Имеется коммутатор 2326 tp-ei. Необходимо запретить двум локальным ip 192.168.0.5 192.168.0.6 ходить куда угодно, кроме двух ip 192.168.0.10 и 192.168.0.20. Пробовал следующее:
ACL number 3001
Rule 5 permit IP source 192.168.0.5 0.0.0.255 destination 192.168.0.10 0.0.0.255
Rule 10 permit IP source 192.168.0.5 0.0.0.255 destination 192.168.0.20 0.0.0.255
Rule 15 permit IP source 192.168.0.6 0.0.0.255 destination 192.168.0.10 0.0.0.255
Rule 20 permit IP source 192.168.0.6 0.0.0.255 destination 192.168.0.20 0.0.0.255
Rule 25 deny IP source 192.168.0.5 0.0.0.255 destination 192.168.0.0 0.0.0.255
Rule 25 deny IP source 192.168.0.6 0.0.0.255 destination 192.168.0.0 0.0.0.255

Но правила не срабатывают. Все ходят куда хотят. Подскажите, что не правильно.
0
Лучшие ответы (1)
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
07.06.2016, 15:47
Ответы с готовыми решениями:

Запрет доступа
Всем привет! Такая ситуация, в одной сети есть подсети с разными рабочими...

"запрет доступа" к определенным папкам
Здравствуйте. Стоит задача: запретить просмотр содержимого папки. Папки...

Запрет на доступ к определенным сайтам. Cisco ASA?
Добрый день, у нас в РФ приняли закон, обязывающий интернет провайдеров...

Разграничение доступа к определенным полям в справочнике
Приветствую. ТАкая задача. Есть УПП конфа на 8.1. Необходимо сделать так, ...

Разграничение прав доступа к определенным записям
При помощи ACL можно разграничить пользователей для редактирования/чтения...

13
.None
Эксперт по компьютерным сетям
2371 / 918 / 130
Регистрация: 23.06.2009
Сообщений: 3,248
07.06.2016, 17:11 2
2326 tp-ei в глаза не видел, но могу однозначно сказать, что вилдкард маска 0.0.0.255 здесь ошибочна, по идее ее нужно убрать совсем или использовать 0.0.0.0

и не забыть последним правилом разрешить any any
1
insect_87
Модератор
Эксперт по компьютерным сетям
4838 / 3923 / 799
Регистрация: 25.12.2012
Сообщений: 16,686
08.06.2016, 08:04 3
Лучший ответ Сообщение было отмечено tolikadm как решение

Решение

tolikadm, 2326 - свитч второго уровня, тут такое не прокатит
ACL там нужны, например, чтобы ограничить доступ к свитчу по ssh
тебе нужен свитч 3 уровня, например, 53 или 57 серии
1
tolikadm
0 / 0 / 0
Регистрация: 07.06.2016
Сообщений: 7
08.06.2016, 09:52  [ТС] 4
Спасибо!
0
cat_driver
57 / 48 / 3
Регистрация: 19.12.2013
Сообщений: 203
17.06.2016, 16:59 5
Цитата Сообщение от insect_87 Посмотреть сообщение
tolikadm, 2326 - свитч второго уровня, тут такое не прокатит
ACL там нужны, например, чтобы ограничить доступ к свитчу по ssh
тебе нужен свитч 3 уровня, например, 53 или 57 серии
можно попробовать через полиси
делается примерно так : (где то могу ошибиться надо оттестить на живом но мне лениво)

"описываем" класс трафик например:
C
1
2
3
4
5
6
7
8
9
10
11
12
13
14
acl number 3001
Rule 5 permit IP source 192.168.0.5 0  destination 192.168.0.10 0
Rule 10 permit IP source 192.168.0.5 0  destination 192.168.0.20 0
Rule 15 permit IP source 192.168.0.6 0 destination 192.168.0.10 0
Rule 20 permit IP source 192.168.0.6 0 destination 192.168.0.20 0
 
acl number 3002
 rule 5 permit ip source 192.168.0.5 0 destination 192.168.0.0 0.0.0.255
 rule 5 permit ip source 192.168.0.6 0 destination 192.168.0.0 0.0.0.255
 
traffic classifier CLASS operator and
 if-match acl 3001
traffic classifier CLASS-D operator and
 if-match acl 3002
описываем действие:

C
1
2
3
4
traffic behavior ACTION
 permit
traffic behavior ACTION-DENY
 deny
делаем политику:
C
1
2
3
traffic policy MAIN
 classifier CLASS behavior ACTION
 classifier CLASS-D behavior ACTION-DENY


потом вешаем на порт или влан

C
1
2
3
4
5
6
interface Ethernet0/0/4
 port link-type access
 port default vlan 711
 stp disable
 traffic-policy MAIN inbound
 undo lldp enable
0
insect_87
Модератор
Эксперт по компьютерным сетям
4838 / 3923 / 799
Регистрация: 25.12.2012
Сообщений: 16,686
17.06.2016, 19:49 6
cat_driver, этот свитч - свитч 2 уровня
и как вообще вешать traffic-policy с адресами третьего уровня на интерфейс порта второго уровня
0
cat_driver
57 / 48 / 3
Регистрация: 19.12.2013
Сообщений: 203
17.06.2016, 20:06 7
очень просто берется и вешается, местами хуавеи очень многое позволяют - разве что фичи зависят от софта.
Тут софт не указан, но тот 23й, что у меня на столе валяется прекрасно применяет различные полиси на интерфейс, если будет время в понедельник на работе, проверю работоспособность этой хрени на интерфейсе, хотя на VLAN должно работать (по сути аналог VACL цисковского)

кстати тут наверно будет правильнее так, иначе сперва будет попадать под 1 правило
C
1
2
3
traffic policy MAIN
 classifier CLASS-D behavior ACTION-DENY
 classifier CLASS behavior ACTION
0
insect_87
Модератор
Эксперт по компьютерным сетям
4838 / 3923 / 799
Регистрация: 25.12.2012
Сообщений: 16,686
17.06.2016, 20:18 8
cat_driver, ну вот а я через недельку тоже гляну , у меня как раз на стенде 53й и 2352 стоят
0
cat_driver
57 / 48 / 3
Регистрация: 19.12.2013
Сообщений: 203
17.06.2016, 20:30 9
автору топика можно еще по макам фильтровать у него же вроде как один l2 домен. Это работает 100% мы так
защищаемся от изучения мака браса с абонентских портов в случаи петель, то есть трафик блочится и мак не заучивается. полисер вешается на физический порт.


C
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
acl number 4000  
 description Loopguard
 step 10
 rule 10 permit l2-protocol 0x8863 source-mac 00e0-fc00-0000 ffff-ff00-0000
 
 
traffic classifier Loopguard operator or 
 if-match acl 4000
 
#
traffic behavior Loopguard
 deny
 
traffic policy Loopguard
 classifier Loopguard behavior Loopguard
l2-protocol 0x8863 сответсвенно ethertype pppoe
1
insect_87
Модератор
Эксперт по компьютерным сетям
4838 / 3923 / 799
Регистрация: 25.12.2012
Сообщений: 16,686
17.06.2016, 21:12 10
Цитата Сообщение от cat_driver Посмотреть сообщение
еще по макам
вот по макам да, работать будет
0
cat_driver
57 / 48 / 3
Регистрация: 19.12.2013
Сообщений: 203
20.06.2016, 08:55 11
Все работает, матчит по сорсу и денаит:

софт: VRP (R) software, Version 5.70 (S2300 V100R006C00SPC800) Patch Package Version:V100R006SPH018

C
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
<SW_room115>display traffic policy statistics interface Ethernet 0/0/4 inbound verbose classifier-base 
 
 Interface: Ethernet0/0/4
 Traffic policy inbound: TEST
 Rule number: 1
 Current status: OK!
---------------------------------------------------------------------
 Classifier: 3003 operator and
 Behavior: TEST
 Board : 0
Item                              Packets                       Bytes
---------------------------------------------------------------------
Matched                                39                           0
  +--Passed                             0                           0
  +--Dropped                           39                           0
    +--Filter                          39                           0
    +--URPF                             -                           -
    +--CAR                              0                           0
C
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
<SW_room115>display traffic policy interface Ethernet 0/0/4 inbound  
 
  Interface: Ethernet0/0/4
 
  Direction: Inbound
 
  Policy: TEST
   Classifier: 3003
    Operator: AND
    Rule(s) : 
        if-match acl 3003
     Behavior: TEST
      statistic enable
 
      Deny

C
1
2
3
4
<SW_room115>display acl 3003
Advanced ACL 3003, 1 rule
Acl's step is 5
 rule 10 permit ip source 1.1.1.2 0 destination 1.1.1.1 0
1
Fotohunter
243 / 43 / 5
Регистрация: 13.05.2016
Сообщений: 168
Записей в блоге: 3
20.06.2016, 10:11 12
Я конечно ОЧЕНЬ извиняюсь, правила ACL это круто, а на ПОРТ вы эти правила применяли??? :-)))
Правила работают на порту, а не сами по себе ))
0
cat_driver
57 / 48 / 3
Регистрация: 19.12.2013
Сообщений: 203
20.06.2016, 10:15 13
естественно на порт, вывод этот для кого:

C++ (Qt)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
<SW_room115>display traffic policy interface Ethernet 0/0/4 inbound  
 
  Interface: Ethernet0/0/4
 
  Direction: Inbound
 
  Policy: TEST
   Classifier: 3003
    Operator: AND
    Rule(s) : 
        if-match acl 3003
     Behavior: TEST
      statistic enable
 
      Deny

ну или в конфиге:
C++ (Qt)
1
2
3
4
5
6
7
8
<SW_room115>displ current-configuration interface Ethernet 0/0/4
#
interface Ethernet0/0/4
 port link-type access
 port default vlan 711
 stp disable
 traffic-policy TEST inbound
 undo lldp enable


Смысл в том, что свитч умеет "смотреть" ip
0
Fotohunter
243 / 43 / 5
Регистрация: 13.05.2016
Сообщений: 168
Записей в блоге: 3
20.06.2016, 11:04 14
Цитата Сообщение от cat_driver Посмотреть сообщение
естественно на порт
У Автора поста о порте ничего написано не было

Добавлено через 1 минуту
Цитата Сообщение от cat_driver Посмотреть сообщение
Смысл в том, что свитч умеет "смотреть" ip
Даже без интерфейс-вилана???
0
20.06.2016, 11:04
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
20.06.2016, 11:04

Ограничение скорости доступа в интернет\к определенным сайтам
Добрый день! Я начинающий системный администратор; Помогите пожалуйста...

Программа для закрытия доступа к определенным сайтам
Всем привет, хочу написать программу для закрытия доступа к веб страницам но с...

Mvc 5 блокирование доступа к приложению определенным странам
добрый день всем. преподаватель дал следующее задание. необходимо сделать так,...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
14
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru