D-Link • Просмотр темы - DXS-3600 rp-addres in ACL баг?

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

DXS-3600 rp-addres in ACL баг?

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 2

[ Сообщений: 17 ]

На страницу 1, 2 След.

Предыдущая тема | Следующая тема

Автор

Сообщение

NShut

Заголовок сообщения: DXS-3600 rp-addres in ACL баг?

Добавлено: Чт сен 11, 2014 07:43

Зарегистрирован: Вт фев 12, 2008 09:13
Сообщений: 102

День добрый. Настраиваю ip-tv на dxs-3600 (прошивка 2.30.B052)
и нашел следующую проблему, возможно даже утечка памяти
вбиваем в конфиг
ip access-list tv-twn 14
1 permit any 239.0.1.0 0.0.0.255
5 deny any any

ip pim rp-address 172.22.5.2 group-list tv-twn

смотрим
#sh ip pim rp-h 239.0.1.0
RP: 172.22.5.2
Info source: static

вбиваем
no access-l tv-twn
смотрим результат, статика осталась
создаем ацесс-лист такой же но одно правило 1 deny any any
результат не меняется
изменяем group-list tv-twn2
статика уходит на новый ацесс лист
возвращаем на tv-twn
статика появляется, даже если ацесс листа не существует или все запрещено одним правилом, статика все-равно старая.

я штук 6 таких листов создал, все тоже самое. ацесс листов нет, но они действуют. где то, что-то помнит оборудование. Ребутить магистральник увы нет возможности.

Последний раз редактировалось NShut Пн сен 22, 2014 08:18, всего редактировалось 1 раз.

Вернуться наверх

NShut

Заголовок сообщения: Re: DXS-3600 rp-addres in ACL баг?

Добавлено: Пт сен 19, 2014 07:01

Зарегистрирован: Вт фев 12, 2008 09:13
Сообщений: 102

все прочитали, но 0 комментариев. хотелось бы все-таки ответной реакции

Вернуться наверх

NShut

Заголовок сообщения: Re: DXS-3600 rp-addres in ACL баг?

Добавлено: Пт сен 19, 2014 17:53

Зарегистрирован: Вт фев 12, 2008 09:13
Сообщений: 102

и тишина.
а мне сегодня абонент говорит, что прекрасно пингует и может зайти на свичи. Я говорю ври больше.
как оказалось ацессы перестали работать. Когда я их настраивал, проверял каждое правило. все работало, сейчас нет.
Конкретно не работает на данный момент acl vlan access map, я его не менял и он до этого работал!
у кого работает данный ацесс, дайте кусок конфига, забью себе в роутер и потом выдам результат.
но правда, слов нет.
я конфигурю фаеры циски, линуха, фряхи и таких приколов не видел. с учетом того что это хардваре листы.
никого не хочу обидеть, но уже купили 4 железки dxs-3600, еще собираемся. под пол сотни 3620 уже работает.
дайте с кем поругаться

))))
шутка, удачных выходных всем

Вернуться наверх

NShut

Заголовок сообщения: Re: DXS-3600 rp-addres in ACL баг?

Добавлено: Пн сен 22, 2014 05:33

Зарегистрирован: Вт фев 12, 2008 09:13
Сообщений: 102

Цитата:

ip access-list mgm-sw 20
exit
access-list resequence mgm-sw 10 10
ip access-list mgm-sw 20
2 permit any any
5 deny any any

Цитата:

vlan access-map sw-mgmdeny 5
match ip address mgm-sw
action drop
exit

vlan filter sw-mgmdeny vlan-list 3104
acl-hardware-counter vlan-filter sw-mgmdeny

Цитата:

sw#sh ip int b
Interface IP Address Link Status
vlan3104 172.22.104.1 up
sw#sh vlan access-map
VLAN access-map sw-mgmdeny 5
match ip access list: mgm-sw(ID: 20)
action: drop
Counter enable on VLAN(s): 3104
match count: 1962 packets
sw#

и теперь с любого компьютера пингуем используя роутинг, т.к. подсеть другая
ping 172.22.104.9 -t
Ответ от 172.22.104.9: число байт=32 время=1мс TTL=252
Ответ от 172.22.104.9: число байт=32 время=1мс TTL=252

не работает! а значит не будет и PBR работать. Который мне необходим как воздух. глубо покупать такую железку на layer 2

Вернуться наверх

dmvy2

Заголовок сообщения: Re: DXS-3600 rp-addres in ACL баг?

Добавлено: Пн сен 22, 2014 08:39

Зарегистрирован: Чт июн 04, 2009 07:38
Сообщений: 201

попробуйте для RP без последнего правила deny. с PBR последнне правило отчно не нужно.

Вернуться наверх

NShut

Заголовок сообщения: Re: DXS-3600 rp-addres in ACL баг?

Добавлено: Пн сен 22, 2014 09:40

Зарегистрирован: Вт фев 12, 2008 09:13
Сообщений: 102

2 dmvy2
с rp уже без дени работает. (просто взял за правило проверять каждую настройку, изначально всегда дени вбиваю) но вопрос который я подымал все равно еще в силе.
нашел на фтп прошивку DXS-3600_R2.31.058
в ченж логе ничего по моей проблеме не сказано. Думаю запустить это фирмварю, боюсь как бы хуже не стало.

Вернуться наверх

NShut

Заголовок сообщения: Re: DXS-3600 rp-addres in ACL баг?

Добавлено: Вт сен 23, 2014 05:50

Зарегистрирован: Вт фев 12, 2008 09:13
Сообщений: 102

запустил прошивку DXS-3600_R2.31.058
правила ACL VLAN ACCESS MAP не работают!
и никак я их не могу запустить. счетчики считают, но drop не применяется. Кто где не прав? или на L3 эти правила не работают?
где взять контакты почты dlink? по телефону я не смогу конфиг задиктовать, правила работали когда свич был минимум настроен, сейчас нет.

Вернуться наверх

Alexey Mishenko

Заголовок сообщения: Re: DXS-3600 rp-addres in ACL баг?

Добавлено: Вт сен 23, 2014 05:56

Зарегистрирован: Чт сен 08, 2011 04:59
Сообщений: 1634
Откуда: Алтайский край, Барнаул

support@dlink.ru

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения: Re: DXS-3600 rp-addres in ACL баг?

Добавлено: Вт сен 23, 2014 10:40

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

Добрый день.

2 NShut > Для начала стоит ознакомиться с данным документом: http://ftp.dlink.ru/pub/Switch/DXS-3600 ... _R2.00.pdf

"4. Access Control List (ACL) Commands" стр. 42

и в частности с командой "access-list resequence ..."

Если Вы её не настраиваете, то по-умолчанию первое правило должно иметь ID 10, а каждое следующее значение ID нового правила должно увеличиваться на 10, т.е. ACL для RP должен выглядить так:

ip access-list tv-twn 14
10 permit any 239.0.1.0 0.0.0.255
20 deny any any

Не уверен, что стоит запрещать клиенту ping-овать интерфейсы, чтобы у него была возможность проверять работу получаемой услуги, а повесить ACL на line telnet и line ssh стоит, чтобы ограничить доступ к управлению коммутатором.

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

NShut

Заголовок сообщения: Re: DXS-3600 rp-addres in ACL баг?

Добавлено: Вт сен 23, 2014 11:39

Зарегистрирован: Вт фев 12, 2008 09:13
Сообщений: 102

2 Bigarov Ruslan
Увы мой вопрос заключался не в этом, но если проблема в этом я нигде в инструкции не увидел фразу "must be" старт и инкремент секью это как назначает в автоматическом режиме роутер если я не указываю номер правила (в описании это и описано). Если это не так то в описании этого нет. В любом случае какой мне смысл создавать правило которое перескочит seq step? и не будет работать, странный способ запутать себя самого.

спасибо, что ответили, но меня сейчас больше интересует проблема, которая описана в 3-4 посте. и дело точно не в сиквенсе, пробовал создавать без указания нумераций правил, разве что если я разрушил полностью систему правил указав неправильно первые acl seq при первых тестах, если это правильное поведение оборудования, то я даже не знаю как выразить свое недовольство.
я не хочу выкладывать здесь полностью конфиг, но с радостью отправил бы на проверку, если кто-то это проверит.

Не уверен, что стоит запрещать клиенту ping-овать интерфейсы, чтобы у него была возможность проверять работу получаемой услуги
дело не в пинге, есть оборудование, свичи управления которые дохнут от шторма, есть оборудование на которых вообще нет паролей и не ставятся. Я не хочу отдавать его пользователям в сеть из 20к абонентов. Я просто создал лист который не работает, а как я эти листы буду использовать наверно решу

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения: Re: DXS-3600 rp-addres in ACL баг?

Добавлено: Вт сен 23, 2014 11:44

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

Описать проблему Вы можете мне и я проверю её на тестовом стенде.

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения: Re: DXS-3600 rp-addres in ACL баг?

Добавлено: Вт сен 23, 2014 15:55

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

Схема тестового стенда:

[PC1] -- (1/0/1[DXS-3600]1/0/3) -- [PC2]

PC1: 192.168.1.15/24 & 192.168.0.15/24
PC2: eth0.200 192.168.10.30/24

Настраиваю DXS-3600-32S:

Код:

con t
int m 0
ip add 172.16.0.1 255.255.255.0
ex
int vlan 1
ip add 192.168.1.1 255.255.255.0
ip add 192.168.0.1 255.255.255.0 secondary
ex
ip access-list mgmt
10 permit 192.168.1.0 0.0.0.255
ex
username admin pri 15 pass 0 123456
line telnet
login local
access-class mgmt
end

Проверяем с PC1 доступ к интерфейсам коммутатора:

Первый:

Код:

D:\>ping 192.168.1.1 -n 4
This is hrPING v2.26 by cFos Software GmbH -- http://www.cfos.de

Pinging 192.168.1.1
with 64 bytes data (92 bytes IP):

Reply from 192.168.1.1: seq=0000 time=0.660ms TTL=255 ID=cf45
Reply from 192.168.1.1: seq=0001 time=0.659ms TTL=255 ID=cf46
Reply from 192.168.1.1: seq=0002 time=0.638ms TTL=255 ID=cf4b
Reply from 192.168.1.1: seq=0003 time=1.627ms TTL=255 ID=cf4c

Statistics for 192.168.1.1:
    Packets: sent=4, rcvd=4, error=0, lost=0 (0% loss) in 1.501638 sec
    RTTs of replies in ms: min/avg/max: 0.638 / 0.896 / 1.627

Второй:

Код:

D:\>ping 192.168.0.1 -n 4
This is hrPING v2.26 by cFos Software GmbH -- http://www.cfos.de

Pinging 192.168.0.1
with 64 bytes data (92 bytes IP):

Reply from 192.168.0.1: seq=0000 time=2.860ms TTL=255 ID=cf57
Reply from 192.168.0.1: seq=0001 time=2.092ms TTL=255 ID=cf58
Reply from 192.168.0.1: seq=0002 time=2.910ms TTL=255 ID=cf59
Reply from 192.168.0.1: seq=0003 time=8.758ms TTL=255 ID=cf5e

Statistics for 192.168.0.1:
    Packets: sent=4, rcvd=4, error=0, lost=0 (0% loss) in 1.508765 sec
    RTTs of replies in ms: min/avg/max: 2.092 / 4.155 / 8.758

D:\>

Оба интерфейса отвечают.

Далее проверяет доступ по Telnet:

Первый:

Код:

D:\>telnet 192.168.1.1

                     DXS-3600-32S TenGigabit Ethernet Switch

                             Command Line Interface
                            Firmware: Build 2.31.B060
           Copyright(C) 2013 D-Link Corporation. All rights reserved.

User Access Verification

Username:admin
Password:******

DXS-3600-32S#logout

D:\>

Доступ есть.

Второй:

Код:

D:\>telnet 192.168.0.1

D:\>

Доступа нет. Всё правильно и согласно конфигурации.

Добавляем в конфигурацию фильтрацию ICMP пакетов:

Код:

con t
ip access-list extended deny_icmp 2000
10 permit icmp 192.168.1.0 0.0.0.255 any echo
20 deny icmp 192.168.0.0 0.0.0.255 any echo
ex
int eth 1/0/1
ip access-group deny_icmp in
end

Проверяем:

Первый:

Код:

D:\>ping 192.168.1.1 -n 4
This is hrPING v2.26 by cFos Software GmbH -- http://www.cfos.de

Pinging 192.168.1.1
with 64 bytes data (92 bytes IP):

Reply from 192.168.1.1: seq=0000 time=0.640ms TTL=255 ID=dbfb
Reply from 192.168.1.1: seq=0001 time=0.720ms TTL=255 ID=dbfc
Reply from 192.168.1.1: seq=0002 time=0.931ms TTL=255 ID=dbfd
Reply from 192.168.1.1: seq=0003 time=1.693ms TTL=255 ID=dbfe

Statistics for 192.168.1.1:
    Packets: sent=4, rcvd=4, error=0, lost=0 (0% loss) in 1.502086 sec
    RTTs of replies in ms: min/avg/max: 0.640 / 0.996 / 1.693

Отвечает. Всё правильно.

Второй:

Код:

D:\>ping 192.168.0.1 -n 4
This is hrPING v2.26 by cFos Software GmbH -- http://www.cfos.de

Pinging 192.168.0.1
with 64 bytes data (92 bytes IP):

4 Requests timed out.

Statistics for 192.168.0.1:
    Packets: sent=4, rcvd=0, error=0, lost=4 (100% loss) in 0.000000 sec

D:\>

Не отвечает. Всё правильно.

Добавляем ещё в конфигурацию фильтрацию с привязкой к VLAN:

Код:

con t
vlan 200
ex
int vlan 200
ip add 192.168.10.1 255.255.255.0
ex
int eth 1/0/3
switchport mode trunk
switchport trunk native vlan 1
switchport trunk allowed vlan rem 2-199,201-4094
ex
ip access-list extended permit_traffic 2221
10 permit 192.168.10.0 0.0.0.255 192.168.1.0 0.0.0.255
ex
ip access-list extended deny_traffic 2222
10 permit 192.168.10.0 0.0.0.255 192.168.0.0 0.0.0.255
exit
vlan access-map forward_traffic 10
match ip address 2221
action forward
exit
vlan access-map forward_traffic 20
match ip address 2222
action drop
exit
vlan filter forward_traffic vlan-list 200
end

Проверяем с PC2:

Настройка интерфейса:

Код:

root@kenger:/etc/tacacs+# ping 192.168.1.15 -c 4
PING 192.168.1.15 (192.168.1.15) 56(84) bytes of data.
64 bytes from 192.168.1.15root@kenger:/etc/tacacs+# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:15:e9:af:fa:4d  
          inet addr:192.168.20.1  Bcast:192.168.20.255  Mask:255.255.255.0
          inet6 addr: fe80::215:e9ff:feaf:fa4d/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2849 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2571 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:318522 (311.0 KiB)  TX bytes:248941 (243.1 KiB)
          Interrupt:19 

eth1      ...

eth0.200  Link encap:Ethernet  HWaddr 00:15:e9:af:fa:4d  
          inet addr:192.168.10.30  Bcast:192.168.10.255  Mask:255.255.255.0
          inet6 addr: fe80::215:e9ff:feaf:fa4d/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1484 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1450 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:136260 (133.0 KiB)  TX bytes:153545 (149.9 KiB)

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:58563 errors:0 dropped:0 overruns:0 frame:0
          TX packets:58563 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:5529672 (5.2 MiB)  TX bytes:5529672 (5.2 MiB)

Проверяем связь с primary интерфейсом коммутатора:

Код:

root@kenger:/etc/tacacs+# ping 192.168.1.1 -c 4
PING 192.168.1.1 (192.168.1.1) 56(84) bytes of data.
64 bytes from 192.168.1.1: icmp_req=1 ttl=255 time=0.499 ms
64 bytes from 192.168.1.1: icmp_req=2 ttl=255 time=0.486 ms
64 bytes from 192.168.1.1: icmp_req=3 ttl=255 time=0.496 ms
64 bytes from 192.168.1.1: icmp_req=4 ttl=255 time=0.596 ms

--- 192.168.1.1 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 2999ms
rtt min/avg/max/mdev = 0.486/0.519/0.596/0.047 ms

Связь есть. Всё правильно.

Проверяем связь с secondary интерфейсом коммутатора:

Код:

root@kenger:/etc/tacacs+# ping 192.168.1.15 -c 4
PING 192.168.1.15 (192.168.1.15) 56(84) bytes of data.
64 bytes from 192.168.1.15: icmp_req=1 ttl=127 time=0.226 ms
64 bytes from 192.168.1.15: icmp_req=2 ttl=127 time=0.222 ms
64 bytes from 192.168.1.15: icmp_req=3 ttl=127 time=0.216 ms
64 bytes from 192.168.1.15: icmp_req=4 ttl=127 time=0.216 ms

--- 192.168.1.15 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 2999ms
rtt min/avg/max/mdev = 0.216/0.220/0.226/0.004 ms

Связь есть. Всё правильно.

Проверяем связь с 192.168.1.15 интерфейсом PC1:

Код:

root@kenger:/etc/tacacs+# ping 192.168.0.1 -c 4
PING 192.168.0.1 (192.168.0.1) 56(84) bytes of data.

--- 192.168.0.1 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 2999ms

Связи нет. Всё правильно.

Проверяем связь с 192.168.0.15 интерфейсом PC1:

Код:

root@kenger:/etc/tacacs+# ping 192.168.0.15 -c 4
PING 192.168.0.15 (192.168.0.15) 56(84) bytes of data.

--- 192.168.0.15 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3024ms

Связи нет. Всё правильно.

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

NShut

Заголовок сообщения: Re: DXS-3600 rp-addres in ACL баг?

Добавлено: Вт сен 23, 2014 22:11

Зарегистрирован: Вт фев 12, 2008 09:13
Сообщений: 102

спасибо. но я все же нашел в чем проблема. В общем лучше не использовать на интерфейсе VLAN ACL и interface ip access-gr
они пересекаются каким то местом, известным только программерам.
т.е. если в действующей указанной вами конфигурации добавить вот это:
ip access-list extended tmp 2500
permit any any
ex
int eth 1/0/3
ip access-group tmp in
end
то ACL на влан 200 слетает и не работает. хотя хардваре счетчики отсчитывают пакеты
если вдуматься то пермит нового аццеса разрешает проход пакетов и не производит обработку vlan acl, когда в мануале написано, что на интерфейс можно вешать разные типы аццесс листов.
если в ацессе не указывать пермит, который используется vlan acl то все будет работать.
в общем кто тут неправ я затрудняюсь сказать. но если acl связаны, то зачем тогда было vlan выводить в влан мапы, когда все же проще и удобней на интерфейс вешать ацесс и чередовать deny и permit, чем создавать списки, а потом еще влан мапы.
главное для себя я понял как обойти эту проблему, а значит могу дальше работать. но честно, даже писав этот пост у меня мозг в трубочку сворачивался

Вернуться наверх

Alexey Mishenko

Заголовок сообщения: Re: DXS-3600 rp-addres in ACL баг?

Добавлено: Ср сен 24, 2014 04:02

Зарегистрирован: Чт сен 08, 2011 04:59
Сообщений: 1634
Откуда: Алтайский край, Барнаул

Опа. А мы как раз не взяли свич, потому что у него нельзя было повестить acl на int vlan. В новой прошивке это реализовали. Есть возможность у вас подетальней поразбираться, что именно не так?

Вернуться наверх

NShut

Заголовок сообщения: Re: DXS-3600 rp-addres in ACL баг?

Добавлено: Ср сен 24, 2014 04:42

Зарегистрирован: Вт фев 12, 2008 09:13
Сообщений: 102

2 Alexey Mishenko
Нормальная железка. Штук 30 интерфейсов Л3 на одной крутится. Реализовано уже и в работе ip pim, acl vlan, pbr (даже нагрузку не поднял), ospf с фильтрацией. На данный момент не удалось загрузить bgp full vew, пробовали ограничивать фул вью ацесс листами, но тоже не получилось, через 10 секунд слетало, в этом месяце хотим на последней прошивке еще раз запустить.
По ацл влан, ужасно неудобно их составлять, приходится создавать лист форвард и лист дени и применять их в соответствующей последовательности. Получается не почередуешь правила в одном листе дени и пермит. mpls и прочие не пробовал даже.
Ну а так работает функционал. То, что описывалось выше просто мелкий баг который по логике и вызвать сложно, просто не хватает фразы когда конфигуришь типо "warn: ip acl is priority on vlan acl".
Я так понимаю ацесс листы хардварные работают по принципу 3200, 3620 и т.д., просто там был понятен принцип дествия по порядку создаваевых профилей. здесь же это все скрыто под cisco like cli и какой ацесс перекрывает предыдущий не понятно.

Вернуться наверх

Страница 1 из 2

[ Сообщений: 17 ]

На страницу 1, 2 След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 124

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения