Сообщения без ответов | Активные темы Текущее время: 29 мар 2024, 03:41



Ответить на тему  [ Сообщений: 4 ] 
IP source guard + interface vlan ACL 
Автор Сообщение

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 2111
Добрый день.

Есть стэк из 3750X Version 15.0(2)SE10.
Наблюдаю следующее:
Коммутатор терминирует абонентов по L3. На L3 порту interface vlan X в направлении in настроен ACL.
Если на L2 порту коммутатора, куда включен абонент из соответствующего vlan X, включить ip verify source - то выше описанный ACL начинает игнорироваться и запрещенный в нем трафик начинает ходить.
При этом если аналогичный ACL повесить непосредственно на L2 порт - фильтрация работает не зависимо от наличия IPSG.

Так и должно быть? Или это ограничение платформы/баг иоса?
Может есть какая хитрая глобальная команда?
Нагуглить по сабжу ничего не смог...


22 май 2017, 17:24
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 2111
Неужели никто с подобным сценарием не сталкивался?
Что интересно - счётчики L3 ACL увеличиваются...
SDM template - router. TCAM утилизирован слабо, свободных записей всех типов больше чем занятых.


23 май 2017, 10:16
Профиль

Зарегистрирован: 17 авг 2013, 00:08
Сообщения: 310
P@ve1
не то?
Цитата:
IP Source Guard Interaction with VLAN-Based Features
Use the access-group mode command to specify how IP Source Guard interacts with VLAN-based features (such as VACL and Cisco IOS ACL and RACL).

In prefer port mode, if IP Source Guard is configured on an interface, IP Source Guard overrides other VLAN-based features. If IP Source Guard is not configured on the interface, other VLAN-based features
are merged in the ingress direction and applied on the interface.


23 май 2017, 10:19
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 2111
Спасибо.

В описании 37 платформы такой команды нет. И в случае L2 ACL он как бы и работает в режиме merge.

В итоге нашел в оф гайде в разделе IPSG:

Цитата:
Note The port ACL takes precedence over any router ACLs or VLAN maps that affect the same interface.


Большая печаль (((( Ну да ладно, буду знать.

Тему можно считать закрытой.


23 май 2017, 10:37
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 4 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 58


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB