прошивка последняя - Build 1.70.B032
кусок конфига:
expert access-list extended DMZexpert 8000
10 deny 10.10.0.0 255.255.0.0 any any any vlan 777
20 deny 192.168.0.0 255.255.0.0 any any any vlan 777
ip access-list DMZ-cleaning 1
2 deny 10.10.0.0 255.255.0.0 any
10 deny 192.168.0.0 255.255.0.0 any
acl-hardware-counter access-group DMZ-cleaning
acl-hardware-counter access-group DMZexpert
interface ethernet 1/0/25
description PPPOE-server
ip access-group DMZ-cleaning in
switchport mode trunk
switchport trunk native vlan tag
switchport trunk allowed vlan 777
acceptable-frame tagged-only
interface ethernet 1/0/28
description uplink
ip access-group DMZ-cleaning in
switchport mode trunk
switchport trunk native vlan tag
switchport trunk allowed vlan 39-40,777
acceptable-frame tagged-only
проблема в том, что не работают ACL
задача в том, чтобы отфильтровать в влане (777) серые адреса 192.168. и 10.10.
проблемы две:
1) работает только одно из правил . которое прописано первым. т.е. ловит либо пакеты с src ip 10.10. если это правило прописано первым,
либо 192.168. (если оно первое)
2) ловит пакеты неправильно. смотрю результат фильтрации tcpdump-ом - пропускает ОЧЕНЬ много.. я бы сказал бОльшую часть того что надо задерживать
пробовал обычным IP ACL - он хоть что-то ловит, EXPERT ACL с указанием нужного влана вообще ничего не ловит.
"исходящий порт", который генерит трафик - 25 . Аплинк на свиче - 28.
Пробовал вешать ACL на оба порта, чтобы исключить ошибку с тем, какой трафик "IN" на порту
Вход
Регистрация
FAQ
Поиск
