Access-list IP для L2 Catalyst 2900/3500

Для любителей просто поболтать

Access-list IP для L2 Catalyst 2900/3500

Сообщение Сергей Дубров » 15 май 2009, 10:59

Народ, может кто-нибудь подтвердить/опровергнуть вот такой вот экспериментальный факт: есть старые цисковские ком L2-коммутаторы Catalyst2900XL/3500XL, про L3 они ничего не знают, но вроде как у них есть(?) возможность работать с IP-шными аксес листами, по крайней мере я вижу вот это:

Код: Выделить всё
cat3500-test(config)#access-list ?
  <1-99>       IP standard access list
  <100-199>    IP extended access list
  <1300-1999>  IP standard access list (expanded range)
  <2000-2699>  IP extended access list (expanded range)

Создаю ACL с номером 20 (стандартный, проверяет только по source ip):
Код: Выделить всё
cat3500-test#sho access-lists 20
Standard IP access list 20
    deny   any

Назначаю его на единственный существующий VLAN 1:
Код: Выделить всё
cat3500-test#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
cat3500-test(config)#int vlan 1
cat3500-test(config-if)#ip access-group 20 in
cat3500-test(config-if)#^Z
cat3500-test#

...и получаю странный результат - перестаёт пинговаться сам коммутатор - т.е., эффект вроде как есть, но всё, что идёт транзитом через этот коммутатор, как шло так и продолжает идти, несмотря на правило deny any, запрещающее всё!

На одном из сайтов мне удалось наткнуться на разъяснение по поводу похожей ситуации с 2900XL (они близнецы-братья с 3500XL, у них дажке фирмварь общая) - там утверждается, что поскольку 2900/3500 это L2, то никакие ACL на L3 у них, типа по пределению, работать не будут. Более того, если бы это был L3 коммутатор, то для работы acl сетевого уровня необходимо было бы явно переключить интерфейс из L2 в L3 моду (командой no switchport).

Вопрос: если это действительно так (в документации не нашёл ничего вразумительного), то на кой чёрт этот мраморный телефон присутствует в этих L2-коммутаторах? Не, на свой собственный IP они (acl) воздействуют, да, но мне-то хочется, чтобы они на транзитные пакеты действовали.

Странно это как-то всё. Хотя если честно, то это далеко не единственная странность у кисюковых железок, н-р, есть кучка команд относительно манипуляций с NAT, которые тоже... не работают, причём не работают даже на L3-коммутаторе Cat4948(!). Зачем держать неработающие команды в системе? Не понимаю. Также не понимаю, почему в L2-коммутаторе нет возможности создавать L2 ACL (а L3 ACL - пожалуйста, создавай. Только работать они всё равно не будут).

Если создать правило с логированием, то на консоль начинают валиться сообщения, что вот, мол, запрещён такой-то и такой-то пакет от такого-то и такого-то IP, т.е. ACL таки "стреляет". Правда, как я думаю, это реакция на приходящие бродкасты, которые запрещающее deny any не пускает к своему внутреннему IP.

Ни у кого нет возможности поиграть с кисюковыми железяками, чтобы окончательно убедиться, что реально работающих ACL на указанных выше моделях не существует? Просто уж очень интересно разобраться с этим делом.
Аватара пользователя
Сергей Дубров
 
Сообщения: 2096
Зарегистрирован: 05 июн 2002, 06:07
Откуда: Новосибирск, ин-т ядерной физики СО РАН

Сообщение Dimerson » 15 май 2009, 12:44

Сергей - сорри железог таких нема но мей би они ИОСЫ собирают модульно из кубиков (модулей) - и в одном кубике есть лишний функционал но кубики нельзя половинить ....
Аватара пользователя
Dimerson
 
Сообщения: 2951
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: Access-list IP для L2 Catalyst 2900/3500

Сообщение alexp_mac » 15 май 2009, 14:59

Сергей Дубров писал(а):Вопрос: если это действительно так (в документации не нашёл ничего вразумительного), то на кой чёрт этот мраморный телефон присутствует в этих L2-коммутаторах?


У меня дома стоит cisco877w. Так она и MPLS умеет и BGP, в теории. Ибо ИОС позволяет. Но никто в здравом уме никогда этого делать не будет.
L2 это и есть L2, он и так немало умеет. Хотите больше? Вам 3750 тогда нужно. Коммутатор он что? Он коммутирует пакетики. Ну еще DHCP умеет. ААА умеет, и все. Тупая весьма железка.
alexp_mac
 
Сообщения: 788
Зарегистрирован: 28 июн 2002, 10:50

Сообщение Dimerson » 15 май 2009, 15:05

Блин красиво жить не запретишь :(
Мне вот пришлось фирмварь ковырять на предмет добавить PPTP клиента в DLINK-2640U которогоо там нетути.

Зато есть GPL сырцы и там вопросолв не возникает почему и что и как ;)
Аватара пользователя
Dimerson
 
Сообщения: 2951
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Сообщение alexp_mac » 17 май 2009, 14:58

Dimerson писал(а):Блин красиво жить не запретишь :(
Мне вот пришлось фирмварь ковырять на предмет добавить PPTP клиента в DLINK-2640U которогоо там нетути.

Зато есть GPL сырцы и там вопросолв не возникает почему и что и как ;)


Ну так все дело в цене :)
В магазине один ценник, а для членов профсоюза другой :)
alexp_mac
 
Сообщения: 788
Зарегистрирован: 28 июн 2002, 10:50

Re: Access-list IP для L2 Catalyst 2900/3500

Сообщение Timur Kazimirov » 18 май 2009, 02:33

Сергей Дубров писал(а):...и получаю странный результат - перестаёт пинговаться сам коммутатор - т.е., эффект вроде как есть, но всё, что идёт транзитом через этот коммутатор, как шло так и продолжает идти, несмотря на правило deny any, запрещающее всё!

А остальное "все" тоже в первом влане?
Timur Kazimirov
 
Сообщения: 1153
Зарегистрирован: 10 фев 2004, 09:56
Откуда: Южно-Сахалинск

Сообщение Сергей.М. » 18 май 2009, 07:13

Серег, твой список доступа наложен на интерфейс Vlan 1, который считается третьим уровнем. Отсюда можно предположить, что список доступа будет работать на нем. Но т.к. коммутатор чистый L2, то реально это единственный интерфейс 3-го уровня, который можно создать на устройстве и на который этот список можно наложить. И служит этот интерфейс исключительно для удаленного управления устройством. Соотвественно, список применим к самому устройству и транзитный трафик ты им не запретиш.

По поводу наличия неиспользуемых команд. Как правильно заметили, IOS модульное ПО, и часть команд программисты просто не в состоянии выкинуть, не нарушив работоспособность устройств в целом. Плюс, часть функционала закладывается на будущее. Это мне в свое время поведал один из инженеров Cisco. Насколько это правда не знаю. Поэтому в этом случаи, чтобы не попасть в просак, полезно ознакомиться с разделом Unsupported Commands, который присутствует в любом мануале по любой версии IOS.

Возвращаясь к спискам доступов. На коммутаторах 2-го уровня они прежде всего предназначены не для фильтрации трафика, а для маркировки при развертывании различных схем QoS. О чем Cisco много кричит в своих дайджестах о серии 2960, 3560 и 370 (когда они используются как в качестве коммутаторов 3-го так и 2-го уровней).
Коммутаторы Cisco могут фильтровать трафик на 2-м уровне. Правда это доступно на старших моделях. Называется эта функция VACL (Vlan ACL). Мы, в частности, используем данную функцию на 6500 для зеркалирования трафика. В отличии от SPAN, позволяет мониторить интересующий трафик, а остальной отфильтровать.

Ну и наконец ты не хуже меня знаеш, что линейка XL коммутаторов так давно попала в EOL, что надеяться на что то от них не приходиться. В этом году, кстати, так же заканчивает свой жизненный путь серия 2950.

З.Ы. А вообще Cisco реально испортилась. Желание присутствовать на широких фронтах ИТ индустрии распыляет ее силы. Отсюда недоработки, подчас жуткие, в ее флагманских продуктах: маршрутизаторах, коммутаторах, устройствах безопасности. На мой взгляд, основываясь на 9 летнем опыте работы с широким спектром оборудования данной компании, "нормальными" осталась реализация только фиксированных коммутаторов (2940, 2950, 2960, 3750). В остальных продуктах можно нарваться на более менее приличные грабли.
Аватара пользователя
Сергей.М.
 
Сообщения: 189
Зарегистрирован: 06 июн 2002, 08:14

Re: Access-list IP для L2 Catalyst 2900/3500

Сообщение Timur Kazimirov » 18 май 2009, 08:02

Сергей Дубров писал(а):Зачем держать неработающие команды в системе? Не понимаю.

От того, что IOS позволяет задать на интерфейсе power inline auto, питание на интерфейсе не появится, пока на корпусе самого каталиста не появятся буковки PoE.
Timur Kazimirov
 
Сообщения: 1153
Зарегистрирован: 10 фев 2004, 09:56
Откуда: Южно-Сахалинск

Сообщение Сергей Дубров » 18 май 2009, 08:28

Сергей.М. писал(а):Серег, твой список доступа наложен на интерфейс Vlan 1, который считается третьим уровнем. Отсюда можно предположить, что список доступа будет работать на нем. Но т.к. коммутатор чистый L2, то реально это единственный интерфейс 3-го уровня, который можно создать на устройстве и на который этот список можно наложить. И служит этот интерфейс исключительно для удаленного управления устройством. Соотвественно, список применим к самому устройству и транзитный трафик ты им не запретиш.

Ну, собственно, так и оказалось, я нашёл явный ответ на свой вопрос в одних очень странных дебрях (но не в документации и не на сайте киски. Может, плохо искал?). В общем, эти ACL влияют только на management интерфейс самого коммутатора, т.е. доступность его по icmp, telnet, snmp и пр. протоколам.

Сергей.М. писал(а):По поводу наличия неиспользуемых команд. Как правильно заметили, IOS модульное ПО, и часть команд программисты просто не в состоянии выкинуть, не нарушив работоспособность устройств в целом. Плюс, часть функционала закладывается на будущее. Это мне в свое время поведал один из инженеров Cisco. Насколько это правда не знаю. Поэтому в этом случаи, чтобы не попасть в просак, полезно ознакомиться с разделом Unsupported Commands, который присутствует в любом мануале по любой версии IOS.

Там я смотрел - про это свойство ACL нет ни слова. Типа, L2 - значит всё однозначно :)

Сергей.М. писал(а):Ну и наконец ты не хуже меня знаеш, что линейка XL коммутаторов так давно попала в EOL, что надеяться на что то от них не приходиться. В этом году, кстати, так же заканчивает свой жизненный путь серия 2950.

Да я про EOL в курсе, просто есть некоторое кол-во - десятка полтора - этих старых железок, вот и пытался из них что-то путное изобразить.

Timur Kazimirov писал(а):От того, что IOS позволяет задать на интерфейсе power inline auto, питание на интерфейсе не появится, пока на корпусе самого каталиста не появятся буковки PoE.

Да эт понятно, но есть же места, где тот же IOS более аккуратно работает, н-р, если в Cat4948 не установить оптический sfp модуль, то выбрать несуществующий media-type просто невозможно. Могут же, если захотят :)
Аватара пользователя
Сергей Дубров
 
Сообщения: 2096
Зарегистрирован: 05 июн 2002, 06:07
Откуда: Новосибирск, ин-т ядерной физики СО РАН

Сообщение Dimerson » 18 май 2009, 08:36

Сергей - а у вас ЛАНПЛЕКСЫ еще живы ?

Я вот весь FDDI отдал брательнику - у него в стойке с камаком нетбилдер (FDDI HUB такой) и ланплекс лампочками моргают :) для красоты - там у ланплекса светодиоды треугольные зачотные !

Так же было отдано 3 живых PCI-X SysConnect FDDI adapters (живут и в PCI). EISA FDDI никто не берет :((((
Последний раз редактировалось Dimerson 18 май 2009, 08:46, всего редактировалось 1 раз.
Аватара пользователя
Dimerson
 
Сообщения: 2951
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Сообщение Dimerson » 18 май 2009, 08:38

alexp_mac писал(а):
Dimerson писал(а):Блин красиво жить не запретишь :(
Мне вот пришлось фирмварь ковырять на предмет добавить PPTP клиента в DLINK-2640U которогоо там нетути.

Зато есть GPL сырцы и там вопросолв не возникает почему и что и как ;)


Ну так все дело в цене :)
В магазине один ценник, а для членов профсоюза другой :)


Можно вступить в профсоюз ?
Аватара пользователя
Dimerson
 
Сообщения: 2951
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Сообщение Сергей Дубров » 18 май 2009, 11:03

Dimerson писал(а):Сергей - а у вас ЛАНПЛЕКСЫ еще живы ?

Не, отправлены на почётный отдых, в музей, вместе с фактически единственной машиной, которой FDDI был нужен (силиконовский 4-х процессорный сервер образца 1994 года с IRIX 5.3 :)).
Аватара пользователя
Сергей Дубров
 
Сообщения: 2096
Зарегистрирован: 05 июн 2002, 06:07
Откуда: Новосибирск, ин-т ядерной физики СО РАН

Сообщение Dimerson » 18 май 2009, 11:11

А что еще в музее из экспонатов ? Крейт-контроллеры в 1 слот на ВМ2 ?
Аватара пользователя
Dimerson
 
Сообщения: 2951
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Сообщение Сергей Дубров » 18 май 2009, 12:01

Dimerson писал(а):А что еще в музее из экспонатов ? Крейт-контроллеры в 1 слот на ВМ2 ?

Ну, музей это я пока слишком громко выразился :D . Просто потихоньку собираем старое оборудование, типа MAU для "толстого" Ethernet-а, несколько microVAX-ов (у нас в своё время был крупнейший DECNET-кластер в Союзе), большую DEC Alpha, FDDI-ное железо, силиконовский сервер и т.п. - для демонстрации будущим поколениям.
Аватара пользователя
Сергей Дубров
 
Сообщения: 2096
Зарегистрирован: 05 июн 2002, 06:07
Откуда: Новосибирск, ин-т ядерной физики СО РАН

Сообщение Dimerson » 18 май 2009, 12:07

если будет оказия смогу передать 3C775A - EISA FDDI адаптер ;o)
Аватара пользователя
Dimerson
 
Сообщения: 2951
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70


Вернуться в Флейм

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 5

cron