Перейти до

HUAWEI ACL

Emiresik

Автор: Emiresik,
в Комутатори L2

 Share Подписчики 0

Рекомендованные сообщения

Emiresik

Emiresik 0

Опубликовано:
Опубликовано:

Ребят! Прошу помощи. Голову ломаю уже день 5. Нужно реализовать список правил для свитча huawei s2300 (s2326TP-XX) для пропуска только PPPoE трафика. Все остальное отрезать соответственно. 

Правила написал, вроде работает. Но только стоит включить в соседний порт роутер "неправльным" портом как мне приходят DHCP....

 

 
sysname Quidway
#
 vlan batch 100 to 120
#
 pppoe intermediate-agent information enable
 pppoe intermediate-agent information format circuit-id extend
#
 dhcp enable
#
 undo http server enable
#
 drop illegal-mac alarm
#
acl number 4000
 rule 0 deny l2-protocol 0x8000 destination-mac ffff-ffff-ffff
 rule 10 permit l2-protocol 0x8863 destination-mac ffff-ffff-ffff
 rule 11 permit l2-protocol 0x8863 destination-mac 1617-24fc-23dd source-mac ffff-ffff-0000
 rule 12 permit l2-protocol 0x8864 destination-mac 1617-24fc-24dd source-mac ffff-ffff-0000
#
interface Ethernet0/0/1
 port link-type access
 port default vlan 101
#
interface Ethernet0/0/2
 port link-type access
 port default vlan 101
#
interface Ethernet0/0/3
 port link-type access
 port default vlan 101
Ссылка на сообщение
Поделиться на других сайтах
Emiresik

Emiresik 0

Опубліковано:
  • Автор
Опубліковано:

Пробовал. Вопрос не решается потому что сам свитч не находит траст.

Ссылка на сообщение
Поделиться на других сайтах
Emiresik

Emiresik 0

Опубліковано:
  • Автор
Опубліковано: (відредаговано)

И да. Решил более извратно, но при этом, зарезал все левый трафик, закрыл соседей.

 

vlan batch 100 to 120
#
pppoe intermediate-agent information enable
pppoe intermediate-agent information format circuit-id extend
#
acl number 3000
rule 0 deny udp destination-port eq 445
rule 1 deny udp destination-port range netbios-ns netbios-ssn
rule 2 deny udp destination-port eq 135
rule 3 deny tcp destination-port eq 445
rule 4 deny tcp destination-port range 137 139
rule 5 deny udp source-port eq bootps
rule 6 deny udp source-port eq bootpc
#
acl number 4000
rule 0 deny l2-protocol 0x8000 destination-mac ffff-ffff-ffff
rule 10 permit l2-protocol 0x8863 destination-mac ffff-ffff-ffff
rule 11 permit l2-protocol 0x8863 destination-mac (BRAS-MAC) source-mac ff0
rule 12 permit l2-protocol 0x8864 destination-mac (BRAS-MAC) source-mac ff0
#
traffic classifier PPPoE operator or
if-match acl 3000
if-match acl 4000
traffic classifier UPLINK operator and
if-match acl 4000
#
traffic behavior PPPoE
deny
traffic behavior UPLINK
deny
#
traffic policy PPPoE
classifier PPPoE behavior PPPoE
traffic policy UPLINK
classifier UPLINK behavior UPLINK
#
interface Ethernet0/0/1
port link-type access
port default vlan 101
traffic-policy PPPoE inbound
undo ntdp enable
undo ndp enable
port-isolate enable group 1
#
interface Ethernet0/0/2
port link-type access
port default vlan 102
traffic-policy PPPoE inbound
undo ntdp enable
undo ndp enable
port-isolate enable group 2
#
interface Ethernet0/0/3
port link-type access
port default vlan 103
traffic-policy PPPoE inbound
undo ntdp enable
undo ndp enable
port-isolate enable group 3
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 100 to 120
traffic-policy UPLINK inbound
pppoe uplink-port trusted
Відредаговано Emiresik
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
 Share
Подписчики 0
Перейти до переліку тем

  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • isp_skynet
      Продам Huawei NE40E-M2K
      Від isp_skynet
      У зв’язку з переходом на продуктивнішу платформу продаємо свій Huawei NE40E-M2K. 
      Пристрій був придбаний у 2022 році в офіційних представників "АйтіБіз".
      Загальна вартість придбання пристрою разом із ліцензіями склала трохи більше 15 000$.
      Можливий продаж з ПДВ.
      З усіх питань прохання звертатися в особисті повідомлення або в Telegram — @Kodr555
       
       
       
      Продуктивність:
      До 2 Tbps загальна пропускна здатність (залежно від конфігурації) До 240 Mpps (мільйонів пакетів на секунду)
      Інтерфейси:
      Підтримка портів 10GE, 40GE, 100GE
      Активовані через RTU-ліцензії:
      40×10GE портів 2×100GE портів
      Шасі та слоти:
      3U шасі До 3 слотів для лінійних карт 2 слоти для комутаційного модуля (SFU) 2 слоти для живлення 1 слот для керуючого процесора (MPUE)
      Надійність та резервування:
      Підтримка GR, BFD, FRR, NSF тощо Резервування джерел живлення та керуючих модулів Охолодження фронт-зад
      Протоколи та функції:
      IPv4/IPv6 Dual Stack MPLS, LDP, RSVP-TE L2VPN (VPWS, VPLS), L3VPN (MPLS VPN) Мультикаст: PIM-SM, PIM-SSM Розширене QoS з 5 рівнями пріоритетів Маршрутизація на основі політик (PBR) BGP, OSPF, IS-IS, RIP
      Застосування:
      Магістральний маршрутизатор для телеком-операторів Агрегаційний маршрутизатор у регіональних мережах BNG (широкосмуговий мережевий шлюз) Прикордонний маршрутизатор у корпоративних мережах Підходить для дата-центрів та хмарної інфраструктури
      Функціональні ліцензії:
      Network Detection Function (діагностика та моніторинг) Функціональність BNG Агрегація трафіку Базове ПЗ NE40E-M2, VRP8 V800R010 Додаткові функції для аналізу трафіку
      Ліцензії на порти та ємність:
      RTU-ліцензія на 1×10GE порт – 10 шт. RTU-ліцензія на 10×10GE портів – 3 ліцензії (загалом 30 портів) RTU-ліцензія на 1×100GE порт – 2 шт. Ліцензія на збільшення пропускної здатності на 50GE – 1 шт.
      Підтримка користувачів:
      Підтримка до 20 000 абонентів
    • Oleh B
      Продам оборудование Huawei
      Від Oleh B
      Большой склад оборудования  Huawei, Cisco и другие. Вспе в наличии. Пишите подберем и договоримся по цене 









    • Oleh B
      Продам Схд Huawei OceanStor Dorado 6000 Новая
      Від Oleh B
      В наличии осталась 1 штука Схд Huawei OceanStor Dorado 6000. Цена 35000$ Любая информация или что нужно, пишите. Обменяемся контактами отвечу на все вопросы. Доставка 3-7 дней. 
       
       
       
       



    • ВадимИвч
      Bootrom.bin файл для huawei s5300
      Від ВадимИвч
      Есть ли у кого-нибудь bootrom.bin файл для huawei s5300? Буду очень благодарен 
    • Aspen
      Вибір Олта
      Від Aspen
      Доброго дня Хотів порадитись наразі стою перед закупкою олтів для будівництва Планую закупити одразу партію щоб дешевше. Хотів би отримати поради на сьогодні що краще для gPon 
      ZTE /BdCom /huawei
      Основні вимоги
      1. 82 опція підтримка 
      2. Моживість моніторинга 
      3. Універсальність при заміні плат gPon/ XPon 
      4. Доступніть Ону 
      Це загальні вимоги 
      Тому більш цікавить досвід використання з полів, щоб вирішити що закупати. 
      Дуже дякую за вашу думку 
×
×
  • Створити нове...