Уважаемые зрители! Если видео лекции/практики оказалось полезным, поддержите ролик лайком и комментарием, это поможет ознакомить с ним большую аудиторию. Спасибо. Для желающих поддержать канал boosty.to/nir_net
Ну пустой acl может и игнорироваться, хуже когда вы себе отрезаете доступ (deny по умолчанию) если acl сработает. Странно ведут себя вендоры если вы применяете acl который не создан, последствия всегда неожиданные. Особенно при фильтрации управления или маршрутов bgp.
Здравствуйте. Подскажите пожалуйста, есть два коммутатора третьего уровня, работающих по VRRP. Для отказоустойчивости ACL списки должны быть одинаковыми на обоих коммутаторах для всех подсетей или они разные в зависимости от выбранного мастера? Или ACL списки настраиваются уже на каждом коммутаторе доступа?
Наверное у вас буду одинаковые ACL на обоих L3 коммутаторах. Делать списки на L2 свичах нецелесообразно, даже если они имеют такой функционал, лучше это делать в одной точке - на шлюзе.
Подскажите - почему если я на vlanif запрещаю весь трафик для сети 192.168.0.0 /24 , то доступ к внешним для свича устройствам в этих сетях запрещается, а к vlanif интерфейсам самого свича из этой подсети - нет? ----------- acl name restrict_other_lan 3000 rule deny ip destination 192.168.0.0 0.0.255.255 quit int vlanif123 traffic-filter inbound acl 3000 ----------- - пингуем vlanif свича из другой vlan - ping 192.168.5.1 Обмен пакетами с 192.168.5.1 по с 32 байтами данных: Ответ от 192.168.5.1: число байт=32 время
Подскажите адрес int vlanif123 и ещё адрес сети из которой пингуете. Потому что из вашей задачи не ясно, сколько у вас интерфейсов и откуда и куда вы пингуете.
@@Networkisreachable Спасибо за ответ, поясню. Адрес vlanif 123 - 192.168.123.1 сеть /24 адрес vlanif 5 на том же свиче - 192.168.5.1 сеть /24 пингую 192.168.5.1 с ноута во vlan 123, у ноута адрес 192.168.123.50 По идее правило выше должно запрещать трафик на 192.168.5.1, но он идет, хотя другие хосты в этой сети не пингуются.
Вероятнее всего трафик для самих интерфейсов, как и доступ к интерфейсам управления (всё это data plane) нужно фильтровать иначе. Опять же я не знаю что у вас за устройство, если коммутатор и маршрутизатор это делается фильтрами на интерфейс lo0.0, если SRX то настройками политик edit security zones security-zone zone-name host-inbound-traffic
@@Networkisreachable Добрый день! Вы не могли бы подробнее осветить этот вопрос? У меня схожая ситуация - есть коммутатор Huawei S5735, на нем терминированы сети на виртуальных интерфейсах. Нужно запретить хождение трафика между сетями. ------------- Пример используемого ACL: acl name VL10 rule 10 deny ip source 172.26.0.0 0.0.1.255 destination 10.126.0.0 0.0.0.255 rule 100 permit ip traffic-filter vlan 10 inbound acl name VL10 -------------- С данным ACL хост из сети 172.26.0.0/23 продолжает пинговать 10.126.0.1, терминированный на Vlanif210, но при этом хосты в сети 10.126.0.0/24 уже не пингуются. И ещё я не могу вызвать traffic-filter для виртуального интерфейса. Команда доступна только в режиме глобального конфигурирования. Может тоже, что-то подскажете.
Потому что интерфейсы коммутатора\маршрутизатора не будут фильтроваться аклом, они в data плане. Не знаю почему нет команды trafic-filter, должна быть. 5735 по сути L2 свитч, а значит возможно он это и не умеет.@@user-xg9gr3kc6w
подскажите пожалуйста, нужно разрешить в acl около 2 тысяч определенных ip, каким способом лучше реализовать добавление, кроме как в ручную добавлять каждый ip ?
Только вручную если они из разных блоков. Ну и аклы такие нужно применять с умом, исходя из возможностей железки, а то из-за места применения или объёма они могут начать выполнятся программно\медленно.
Вопрос: требуется применить 2 разных ACL (3000 и 4000) на один интерфейс. После применения работает только один. Как добиться работу сразу двух и более ACL?
@@kostaatos7969 Опять же никак. Я бы сделал иначе. Маки фильтровал на порту, а айпи фильтровал на шлюзе по умолчанию, вы же закрываете фильтром другие сети? Шлюз по умолчанию лучшая точка для накладывая аклов для всей это й сети, т.к. вы это делаете в одном месте. Если вам нужно ограничить общение разных ip адресов в рамках одной сети то привет private vlan, community, и что там ещё huawei предлагает - гибридные виланы.
@@Networkisreachable Я пробовал и мас-фильтрацию и ip-фильтрацию выполнять на ядре, применяя ACL на vlanif и тоже так не работают листы вместе. Пришлось вернуться как вы говорите к мас-адресации на интерфейсах, а ip-адресацию на vlan. Но возможности обработки железяки по обработке ACL очень скромные что-то около 150 rule, а мас-адресов у нас больше.
Создал acl name exemple. Не получается его удалить. При вводе undo acl name exemple Error: The designated ACL group is in use, so it cannot be deleted.
Уважаемые зрители! Если видео лекции/практики оказалось полезным,
поддержите ролик лайком и комментарием, это поможет ознакомить
с ним большую аудиторию. Спасибо.
Для желающих поддержать канал boosty.to/nir_net
Спасибо Вам за очень полезное видео!
Обнаружил что на свиче S6720 по умолчанию весь трафик разрешен при пустом acl
Firmware - V200R021C00SPC100
Ну пустой acl может и игнорироваться, хуже когда вы себе отрезаете доступ (deny по умолчанию) если acl сработает. Странно ведут себя вендоры если вы применяете acl который не создан, последствия всегда неожиданные. Особенно при фильтрации управления или маршрутов bgp.
Перед конфигурированием аксес листов стоит по возможности прописать reload in x и не жмакать wr mem -) очень полезная команда, как показала практика
Абсолютно верно!
В VRP8 у huawei команды применятся как на Juniper по команде commit, там с этим проще.
добрый вечер если можно сделайте уроки про роуте мап на оборудование cisco
Помечу себе, возможно в семестре по Cisco будет для этого время.
Здравствуйте. Подскажите пожалуйста, есть два коммутатора третьего уровня, работающих по VRRP. Для отказоустойчивости ACL списки должны быть одинаковыми на обоих коммутаторах для всех подсетей или они разные в зависимости от выбранного мастера? Или ACL списки настраиваются уже на каждом коммутаторе доступа?
Наверное у вас буду одинаковые ACL на обоих L3 коммутаторах. Делать списки на L2 свичах нецелесообразно, даже если они имеют такой функционал, лучше это делать в одной точке - на шлюзе.
@@Networkisreachable спасибо за ответ!
Подскажите - почему если я на vlanif запрещаю весь трафик для сети 192.168.0.0 /24 , то доступ к внешним для свича устройствам в этих сетях запрещается, а к vlanif интерфейсам самого свича из этой подсети - нет?
-----------
acl name restrict_other_lan 3000
rule deny ip destination 192.168.0.0 0.0.255.255
quit
int vlanif123
traffic-filter inbound acl 3000
-----------
- пингуем vlanif свича из другой vlan -
ping 192.168.5.1
Обмен пакетами с 192.168.5.1 по с 32 байтами данных:
Ответ от 192.168.5.1: число байт=32 время
Подскажите адрес int vlanif123 и ещё адрес сети из которой пингуете. Потому что из вашей задачи не ясно, сколько у вас интерфейсов и откуда и куда вы пингуете.
@@Networkisreachable Спасибо за ответ, поясню.
Адрес vlanif 123 - 192.168.123.1 сеть /24
адрес vlanif 5 на том же свиче - 192.168.5.1 сеть /24
пингую 192.168.5.1 с ноута во vlan 123, у ноута адрес 192.168.123.50
По идее правило выше должно запрещать трафик на 192.168.5.1, но он идет, хотя другие хосты в этой сети не пингуются.
Вероятнее всего трафик для самих интерфейсов, как и доступ к интерфейсам управления (всё это data plane) нужно фильтровать иначе. Опять же я не знаю что у вас за устройство, если коммутатор и маршрутизатор это делается фильтрами на интерфейс lo0.0, если SRX то настройками политик edit security zones security-zone zone-name host-inbound-traffic
@@Networkisreachable Добрый день! Вы не могли бы подробнее осветить этот вопрос? У меня схожая ситуация - есть коммутатор Huawei S5735, на нем терминированы сети на виртуальных интерфейсах. Нужно запретить хождение трафика между сетями.
-------------
Пример используемого ACL:
acl name VL10
rule 10 deny ip source 172.26.0.0 0.0.1.255 destination 10.126.0.0 0.0.0.255
rule 100 permit ip
traffic-filter vlan 10 inbound acl name VL10
--------------
С данным ACL хост из сети 172.26.0.0/23 продолжает пинговать 10.126.0.1, терминированный на Vlanif210, но при этом хосты в сети 10.126.0.0/24 уже не пингуются.
И ещё я не могу вызвать traffic-filter для виртуального интерфейса. Команда доступна только в режиме глобального конфигурирования. Может тоже, что-то подскажете.
Потому что интерфейсы коммутатора\маршрутизатора не будут фильтроваться аклом, они в data плане. Не знаю почему нет команды trafic-filter, должна быть. 5735 по сути L2 свитч, а значит возможно он это и не умеет.@@user-xg9gr3kc6w
подскажите пожалуйста, нужно разрешить в acl около 2 тысяч определенных ip, каким способом лучше реализовать добавление, кроме как в ручную добавлять каждый ip ?
Только вручную если они из разных блоков. Ну и аклы такие нужно применять с умом, исходя из возможностей железки, а то из-за места применения или объёма они могут начать выполнятся программно\медленно.
@@Networkisreachable а если только из одного блока?
опишите их единой маской@@Дмитрий-ы3у2ц
Вопрос: требуется применить 2 разных ACL (3000 и 4000) на один интерфейс. После применения работает только один. Как добиться работу сразу двух и более ACL?
Никак. Сделать третий, объединяющий первый и второй.
@@Networkisreachable А как объединить один ACL с мас-адресами и второй ACL с ip фильтрацией? Это разные уровни ОSI...
@@kostaatos7969 Опять же никак. Я бы сделал иначе. Маки фильтровал на порту, а айпи фильтровал на шлюзе по умолчанию, вы же закрываете фильтром другие сети? Шлюз по умолчанию лучшая точка для накладывая аклов для всей это й сети, т.к. вы это делаете в одном месте.
Если вам нужно ограничить общение разных ip адресов в рамках одной сети то привет private vlan, community, и что там ещё huawei предлагает - гибридные виланы.
@@Networkisreachable Я пробовал и мас-фильтрацию и ip-фильтрацию выполнять на ядре, применяя ACL на vlanif и тоже так не работают листы вместе. Пришлось вернуться как вы говорите к мас-адресации на интерфейсах, а ip-адресацию на vlan. Но возможности обработки железяки по обработке ACL очень скромные что-то около 150 rule, а мас-адресов у нас больше.
@@Networkisreachable А как фильтрация выглядит вживую на шлюзе? можете ссылку на такой пример выложить?
Создал acl name exemple. Не получается его удалить. При вводе undo acl name exemple Error: The designated ACL group is in use, so it cannot be deleted.
Вам нужно снять alc с интерфейса тли сервиса, прежде чем удалять. VRP вам говорит: не могу удалить пока acl где-то используется.