Emiresik Опубликовано: 17 травня, 2016 Опубликовано: 17 травня, 2016 Ребят! Прошу помощи. Голову ломаю уже день 5. Нужно реализовать список правил для свитча huawei s2300 (s2326TP-XX) для пропуска только PPPoE трафика. Все остальное отрезать соответственно. Правила написал, вроде работает. Но только стоит включить в соседний порт роутер "неправльным" портом как мне приходят DHCP.... sysname Quidway # vlan batch 100 to 120 # pppoe intermediate-agent information enable pppoe intermediate-agent information format circuit-id extend # dhcp enable # undo http server enable # drop illegal-mac alarm # acl number 4000 rule 0 deny l2-protocol 0x8000 destination-mac ffff-ffff-ffff rule 10 permit l2-protocol 0x8863 destination-mac ffff-ffff-ffff rule 11 permit l2-protocol 0x8863 destination-mac 1617-24fc-23dd source-mac ffff-ffff-0000 rule 12 permit l2-protocol 0x8864 destination-mac 1617-24fc-24dd source-mac ffff-ffff-0000 # interface Ethernet0/0/1 port link-type access port default vlan 101 # interface Ethernet0/0/2 port link-type access port default vlan 101 # interface Ethernet0/0/3 port link-type access port default vlan 101
Enferno Опубліковано: 17 травня, 2016 Опубліковано: 17 травня, 2016 включи dhcp snooping і выставить trust port
Emiresik Опубліковано: 17 травня, 2016 Автор Опубліковано: 17 травня, 2016 Пробовал. Вопрос не решается потому что сам свитч не находит траст.
Emiresik Опубліковано: 17 травня, 2016 Автор Опубліковано: 17 травня, 2016 (відредаговано) И да. Решил более извратно, но при этом, зарезал все левый трафик, закрыл соседей. vlan batch 100 to 120 # pppoe intermediate-agent information enable pppoe intermediate-agent information format circuit-id extend # acl number 3000 rule 0 deny udp destination-port eq 445 rule 1 deny udp destination-port range netbios-ns netbios-ssn rule 2 deny udp destination-port eq 135 rule 3 deny tcp destination-port eq 445 rule 4 deny tcp destination-port range 137 139 rule 5 deny udp source-port eq bootps rule 6 deny udp source-port eq bootpc # acl number 4000 rule 0 deny l2-protocol 0x8000 destination-mac ffff-ffff-ffff rule 10 permit l2-protocol 0x8863 destination-mac ffff-ffff-ffff rule 11 permit l2-protocol 0x8863 destination-mac (BRAS-MAC) source-mac ff0 rule 12 permit l2-protocol 0x8864 destination-mac (BRAS-MAC) source-mac ff0 # traffic classifier PPPoE operator or if-match acl 3000 if-match acl 4000 traffic classifier UPLINK operator and if-match acl 4000 # traffic behavior PPPoE deny traffic behavior UPLINK deny # traffic policy PPPoE classifier PPPoE behavior PPPoE traffic policy UPLINK classifier UPLINK behavior UPLINK # interface Ethernet0/0/1 port link-type access port default vlan 101 traffic-policy PPPoE inbound undo ntdp enable undo ndp enable port-isolate enable group 1 # interface Ethernet0/0/2 port link-type access port default vlan 102 traffic-policy PPPoE inbound undo ntdp enable undo ndp enable port-isolate enable group 2 # interface Ethernet0/0/3 port link-type access port default vlan 103 traffic-policy PPPoE inbound undo ntdp enable undo ndp enable port-isolate enable group 3 # interface GigabitEthernet0/0/1 port link-type trunk port trunk allow-pass vlan 100 to 120 traffic-policy UPLINK inbound pppoe uplink-port trusted Відредаговано 17 травня, 2016 Emiresik
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас