Дабы не плодить темы, тоже здесь спрошу.
Есть необходимость написания ACL для портов, кторые работают на свитче с включенным MAC Based Access Control (MBAC). Режим портов - host based.
Стенд:
1. Интерфейс Linux-машины с поднятыми vlan100, vlan101, vlan999 - это гостевой влан. Интерфейс воткнут в DES3200-10 в 10й порт.
Boot PROM Version : Build 1.00.B004
Firmware Version : Build 1.70.B006
2. Ноутбук с виндой и прогой для генерации пакетов. Генерится пакет DHCP request (просто выбран вариант из броадкастных пакетов)
Ноут посредством создания в локальной базе mac_based_access_control_local прописан в 100й влан.
Создаю правило:
Код:
create access_profile ethernet vlan 0xFFF source_mac FF-FF-FF-FF-FF-FF destination_mac FF-FF-FF-FF-FF-FF profile_id 100
config access_profile profile_id 100 add access_id 1 ethernet vlan VLAN100 source_mac 00-00-00-00-00-00 mask 00-00-00-00-00-00 destination_mac FF-FF-FF-FF-FF-FF port 1-8 deny
Смотрю tcpdump-ом на интерфейсе linux пакеты проходят.
А если создать такое правило:
Код:
config access_profile profile_id 100 add access_id 1 ethernet vlan_id 999 destination_mac FF-FF-FF-FF-FF-FF source_mac 00-00-00-00-00-00 mask 00-00-00-00-00-00 port 1-8 deny
То пакеты не проходят ни в каком влане.
Т.е. это можно понимать как? В DES3200 ACL применяется до смены vid пакету согласно установленному в атрибутах mac_based_access_control? У всех пакетов на порту в MBAC всегда VID гостевого влан?
И правила, учитывающие VID написать в таком режиме не представляется возможным на данной серии? На DGS3200 в MBAC правила применяются нормально.
Сокращенный конфиг
# PORT
enable jumbo_frame
config ports 1-10 speed auto flow_control disable state enable clear_description
config ports 1-10 learning enable
config ports 1-10 mdix auto
config ports 9-10 medium_type fiber speed auto flow_control disable state enable clear_description
config ports 9-10 medium_type fiber learning enable
# VLAN
disable asymmetric_vlan
enable pvid auto_assign
config vlan default delete 1-10
config vlan default advertisement enable
config vlan default add untagged 9-10
config vlan default add forbidden 1-8
create vlan VLAN100 tag 100
config vlan VLAN100 add tagged 10
create vlan VLAN101 tag 101
config vlan VLAN101 add tagged 10
create vlan VLAN102 tag 102
config vlan VLAN102 add tagged 10
create vlan GuestVlan tag 999
config vlan GuestVlan add tagged 10
disable qinq
disable gvrp
config qinq ports 1-10 role nni outer_tpid 0x88A8 trust_cvid disable vlan_translation disable
config gvrp 1-10 state disable ingress_checking enable acceptable_frame admit_all pvid 1
# ACL
create access_profile ethernet vlan 0xFFF source_mac FF-FF-FF-FF-FF-FF destination_mac FF-FF-FF-FF-FF-FF profile_id 100
config access_profile profile_id 100 add access_id 1 ethernet vlan GuestVlan source_mac 00-00-00-00-00-00 mask 00-00-00-00-00-00 destination_mac FF-FF-FF-FF-FF-FF port 1-8 deny
disable cpu_interface_filtering
# MBA
enable mac_based_access_control
enable authorization attributes
config mac_based_access_control authorization attributes radius enable
config mac_based_access_control authorization attributes local enable
config mac_based_access_control trap state disable
config mac_based_access_control log state enable
create mac_based_access_control guest_vlan GuestVlan
config mac_based_access_control guest_vlan ports 1-8
config mac_based_access_control ports 1-3 state enable
config mac_based_access_control ports 4-10 state disable
config mac_based_access_control ports 1-10 mode host_based
config mac_based_access_control method local
config mac_based_access_control auth_failover enable
config mac_based_access_control password pass
config mac_based_access_control max_users 128
create mac_based_access_control_local mac 00-13-77-5B-CA-62 vlanid 100
create mac_based_access_control_local mac 20-CF-30-79-0F-CE vlanid 100
Вход
Регистрация
FAQ
Поиск
