Приветствую, форумчане!
Откопал в могильнике XVII-го века д.н.э. динозавра
DGS-1210-24 rev A1 FW v2.03.B015.
Не ну а чо - работает. Вот вообще всё работает. Развернул на нём сеть с кучей
VLAN, парой групп
LAG.
Два сервера на tagged портах, один роутер на tagged (LAG), одна точка доступа на tagged.
Остальные порты untagged для пользователей и периферии.
Есть задача поставить максимально жесткий фильтр через
ACL на уровне MAC.
Ничто не предвещало беды, как вдруг...
Моя логика:
1. делаем
отдельный профиль с маской FF-FF-FF-FF-FF-FF для tagged и untagged (так как при создании профиля эта опция обязательна либо да либо нет);
2. разносим по профилям
MAC'и каждой макаки на нужные порты в permit (благо, макак пока в сети мало, см. выше);
3.
предпоследнее правило в каждом профиле - MAC рабочего ноутбука на всех портах в permit (на всякий случай);
4.
последнее правило без MAC'а (GUI не ругается) в deny должно блокировать все остальное.
Не взлетело.
Пробовал последние правила выносить в отдельные профили (соответственно, tagged и untagged) и давать им максимальные id, чтобы оно сортировалось как нужно - бесполезно.
Пробовал последние правила делать по маске 00-00-00-00-00-00, пробовал с адресом и без адреса - бесполезно.
Пробовал дублировать в профилях (tagged и untagged) вообще все MAC'и, существующие в моих джунглях - бесполезно.
Пробовал делать все в одном профиле tagged, пробовал все в одном untagged, пробовал в двух профилях, пробовал в четырех профилях.
Как только появляется последний deny - всё глохнет. Точнее, почти всё. Кроме DHCP (но местами и хаотично).При этом, вообще не важно место расположение deny по порядку, и есть ли он в tagged-профиле или только в untagged или в обоих, как только появляется финальный deny - всё, сингулярность. А теперь самое интересное. На точке доступа (tagged port 17 - там 3 VLAN'а) есть Wi-Fi с контроллера/роутера (tagged port 19+20 - там штук 15 VLAN'ов). Оба Mikrotik, если это важно. Так вот. Этим ребятам вообще пофигу на ACL по MAC'у c его deny. Т.е. когда у меня вся сеть ложится, я к Wi-Fi цепляюсь ноутбуком - и у меня есть всё, в плоть до доступа к голым фото Мелании Трамп.Мануал читал (от конкретной модели). Форум читал. Весь интернет прочитал за исключением 812-й и 902-й страницы.
Вот это много думал (
ссылка):
Denis Evgraphov писал(а):
Это делается при помощи ACL. Сначала создаете Ethernet ACL профиль с анализом по Source MAC, в качестве маски указывается FF-FF-FF-FF-FF-FF. В профиль добавляется правило с действием Permit, MAC-адресом и портом клиента.
Далее создается Ethernet ACL профиль с анализом по Source MAC, в качестве маски указывается 00-00-00-00-00-00. В профиль добавляется правило с действием Deny и MAC-адресом 00-00-00-00-00-00 и портом клиента.
И это тоже (
ссылка):
Denis Evgraphov писал(а):
DGS-1210-24 - это старый коммутатор, который давно снят с производства. На нем стоит рассмотреть альтернативные варианты:
1) Указывать одновременно Source IP и Destination IP оба с одинаковой маской 0.0.0.0 не имеет смысла. Так как если указать Source IP с маской 0.0.0.0, то это правило уже будет применяться для любого диапазона адресов и Destination IP просто не будет иметь никакого значения.
2) Так как маска 0.0.0.0 не поддерживается, то можно создать профиль с маской Source IP 128.0.0.0 и в него добавить затем не одно правило как планировалось, а два: для Source IP 1.0.0.0 и 128.0.0.0 - это перекроет оба возможных множества адресов задаваемых маской 128.0.0.0
Собственно, не нашёл отличий от моей логики. Только во втором примере фильтр по IPv4, а мне только по Eth/MAC надо.
Подозреваю, что беда где-то в ARP и broadcast'ах. Пытался добавить permit для FF-FF-FF-FF-FF-FF - бесполезно.
Такое ощущение, что правила обрабатываются не до первого совпадения, а всей толпой. Читал такое на форуме, но про другие модели. Однако, это никак не объясняет фокус с Wi-Fi.Может быть, я не знаю какой-то особенности касательно конкретно этой древней модели? Помогайте, други.
Буду благодарен за любые советы, кроме "копи новый".
Вход
Регистрация
FAQ
Поиск
