Subnets.ru

**buryanov** » 10 мар 2010, 11:13

Hi All
В cisco/linksys не очень давно, поэтому не очень бейте.
Есть офисная сеть на базе свичей SRW2048 и SPS224G4. В сети стоит 5 WIFI точек. Когда комуто хочется посмотреть iptv(multicast) то wifi умирает на глухо. Было решено на портах зарезать трафик с сервера вещания по ip. Для чего были написаны ACL

Код: Выделить всё: ip access-list iptv deny any 192.168.1.34 255.255.255.255 10.4.0.0 255.255.0.0

и добавлено правило

Код: Выделить всё: interface ethernet e24 service-acl input iptv

Получается, что при этом весь трафик на порту пропадает. Что я делаю не так?

**Андрей** » 10 мар 2010, 11:53

buryanov писал(а):Есть офисная сеть на базе свичей SRW2048 и SPS224G4. В сети стоит 5 WIFI точек. Когда комуто хочется посмотреть iptv(multicast) то wifi умирает на глухо. Было решено на портах зарезать трафик с сервера вещания по ip. Для чего были написаны ACLКод: Выделить всёip access-list iptvdeny any 192.168.1.34 255.255.255.255 10.4.0.0 255.255.0.0и добавлено правило

Вы режите все из сети 10.4.0.0/16 для хоста 192.168.1.34. Другими словами вы не пускаете узел с ip 192.168.1.34 в указанную ранее сеть.
Попробуйте блокировать трафик на multicast адреса с 224.0.0.0 до 239.255.255.255.
Роутеры мультикаста, хочты мультикаста и т.п.
Должно помочь.

**buryanov** » 10 мар 2010, 16:53

а почему я тогда не могу с 10.4/16 достучатся до хоста 10.4.22.5

**Андрей** » 10 мар 2010, 20:58

buryanov писал(а):а почему я тогда не могу с 10.4/16 достучатся до хоста 10.4.22.5

про это ничего не было сказано.
Вообще вариантов есть несколько, но все они сводятся к одному - настройки ифейса:
1. Относится ли ифейс к вилану на котором 10.4/16.
2. Статус ифейса (enable/disable).

Вообще надо больше информации к примеру конфиг ифейса, влана, роутящго ифейса и АЦЛ на ифейсе.

**lehisnoe** » 10 мар 2010, 22:43

buryanov писал(а):а почему я тогда не могу с 10.4/16 достучатся до хоста 10.4.22.5

Потому что ACL в циске заканчивается неявным

Код: Выделить всё: deny any any

. Т.е., в твоем случае нужно добавить еще

Код: Выделить всё: permit any any

последним правилом.

**root** » 11 мар 2010, 00:42

с этими свичами не работали, но:

lehisnoe писал(а):Потому что ACL в циске заканчивается неявным

+1000000000000000

buryanov писал(а):Когда комуто хочется посмотреть iptv(multicast)

если вещается мультикастом то:

IPv4 address space
Addresses in the range 224.0.0.0 to 239.255.255.255 are set aside for the special purpose of providing multicast services in the Internet.

а так же можно зарубить IGMP запросы на портах, без них мультикаст не будет работать
спросишь как ? а это надо читать мануал по свичам

**buryanov** » 11 мар 2010, 01:25

root писал(а):с этими свичами не работали, но:
lehisnoe писал(а):Потому что ACL в циске заканчивается неявным

+1000000000000000
buryanov писал(а):Когда комуто хочется посмотреть iptv(multicast)

если вещается мультикастом то:
IPv4 address space
Addresses in the range 224.0.0.0 to 239.255.255.255 are set aside for the special purpose of providing multicast services in the Internet.

а так же можно зарубить IGMP запросы на портах, без них мультикаст не будет работать
спросишь как ? а это надо читать мануал по свичам

про аклы не знал, спасибо, сеть 224/4, также ,как и igmp пакеты рубить не получалось на свичах. завтра буду пробывать.

**buryanov** » 11 мар 2010, 10:44

всёравно не работает

Код: Выделить всё: Home Shitch SPS224G4# sh run port jumbo-frame vlan database vlan 1901 exit interface vlan 1901 exit interface vlan 1 ip igmp snooping querier enable exit interface vlan 1 ip address 10.4.250.7 255.255.0.0 exit ip access-list iptv deny any 192.168.1.34 255.255.255.255 10.4.0.0 255.255.0.0 deny any 10.4.250.1 255.255.255.255 10.4.30.85 255.255.255.255 permit any any any exit interface ethernet e24 service-acl input iptv exit hostname "Home Shitch SPS224G4" snmp-server location "Kharkiv, Ukraine"

кидаю пинги с 10.4.250.1 на 10.4.30.85 - нету, с 10.4.30.128 - тоже нету

**Андрей** » 11 мар 2010, 11:01

buryanov писал(а):
Код: Выделить всё
deny any 192.168.1.34 255.255.255.255 10.4.0.0 255.255.0.0

а что-то типа

Код: Выделить всё: deny ip any any

поможет?

Кстати, почему бы не и использовать Ip access-group для маршрутизирующего интефейса?
Может поможет:

Код: Выделить всё: vlan 12 by port tagged ethe 2/7 router-interface ve 12 ! interface ve 11 ip access-group 111 in ip address 10.1.1.1 255.255.255.0 ! access-list 111 perm udp any any eq bootps access-list 111 perm ip 10.1.1.0 0.0.0.255 10.10.0.0 0.0.255.255 access-list 111 perm ip 10.1.1.0 0.0.0.255 host 10.1.1.1 access-list 111 deny ip any any

У меня так сделано, может поможет и вам. только свои цифры подставьте.

**root** » 11 мар 2010, 12:10

Андрей писал(а):Кстати, почему бы не и использовать Ip access-group для маршрутизирующего интефейса?

а этот свич может выступать в кач-ве маршрутизатора ? помоему нет.

у него нет маршрутизаци, т.к. у него маска 255.255.0.0, а значит это коммутация

buryanov писал(а):кидаю пинги с 10.4.250.1 на 10.4.30.85 - нету, с 10.4.30.128 - тоже нету

а мак 10.4.30.128 видно ?

buryanov писал(а):interface ethernet e24
service-acl input iptv

а что за этим интерфейсом находится ?
повесь аксес лист на vlan 1, т.к. на нем обрабатывается третий уровень, а порт это второй уровень

так же в циске, в аксес листах, маска указывается в wildcard`е, а не как обычно
т.е. привычная маска 255.255.0.0 в wildcard выглядит как 0.0.255.255

ct-01(config-std-nacl)#permit 10.4.0.0 ?
A.B.C.D Wildcard bits
log Log matches against this entry
<cr>

Subnets.ru

Linksys ACL

Linksys ACL

Re: Linksys ACL

Re: Linksys ACL

Re: Linksys ACL

Re: Linksys ACL

Re: Linksys ACL

Re: Linksys ACL

Re: Linksys ACL

Re: Linksys ACL

Re: Linksys ACL

Кто сейчас на конференции