faq обучение настройка
Текущее время: Вт фев 20, 2018 18:26

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 2 ] 
Автор Сообщение
 Заголовок сообщения: DGS-1510-20 ACL
СообщениеДобавлено: Пт фев 09, 2018 15:40 
Не в сети

Зарегистрирован: Ср фев 07, 2018 13:52
Сообщений: 2
Здравствуйте!

Поставили задачу запретить весь IPv6 трафик, IPv4 multicast и IPv4 broadcast на коммутаторе:

Код:
show version

System MAC Address: 80-26-89-B7-1F-C8

Unit ID    Module Name            Versions
-------  ------------------  ---------------------
   1      DGS-1510-20         H/W:A1
                              Bootloader:1.00.012
                              Runtime:1.30.007


В первый порт коммутатора подключён ПК, который генерирует весь вышеперечисленный трафик.

Код:
Switch#show access-group

eth1/0/1:
  Inbound ipv6 access-list   : IPv6_acl(ID: 12999)
  Inbound mac access-list    : MLC_acl(ID: 7999)


После добавления такого правила, продолжаю видеть IPv4 multicast. Не понимаю почему.
Код:
Switch(config)#show access-list mac

Extended MAC access list MLC_acl(ID: 7999)
    10 deny any 01-00-5E-00-00-00 00-00-00-FF-FF-FF


Для блокировки всего IPv6 трафика, добавил следующее правило. Но не уверен, что всё верно, т.к. периодически вижу DHCPv6 Solicit в tcpdump. Или лучше сделать через mac acl с ethertype 0x86dd ?

Код:
Switch(config)#show access-list ipv6

Standard IPv6 access list IPv6_acl(ID: 12999)
    10 deny any any  (Ing: 203 packets)


Подскажите пожалуйста, как создать правило для блокировки IPv4 broadcast.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1510-20 ACL
СообщениеДобавлено: Ср фев 14, 2018 10:59 
Не в сети

Зарегистрирован: Ср фев 07, 2018 13:52
Сообщений: 2
Уважаемые сотрудники DLink, прокомментируйте пожалуйста мой вопрос!
У нашей компании 143 таких коммутатора, и выше приведённая конфигурация не работает.
Временно включен multicast filtering-mode filter-unregistered, но данный фильтр по не понятной причине блокирует CDP протокол .

Самое интересное в том, что если сделать так:
Код:
Switch(config-mac-ext-acl)#show access-list mac
Extended MAC access list MLC_acl(ID: 7999)
    20 deny any 01-00-5E-00-00-00 00-00-00-FF-FF-FF
    30 deny 54-E1-AD-3B-27-D7 00-00-00-00-00-00 any

где 54-E1-AD-3B-27-D7 mac адрес ПК который генерирует multicast, то блокируется весь его трафик КРОМЕ multicast. В чём может быть проблема ?
Предполагаю что multicast трафик при обработке коммутатором, даже не доходит до ACL.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 2 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 16


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB