Перейти до

HUAWEI ACL

Emiresik

Автор: Emiresik,
в Комутатори L2

 Share Подписчики 0

Рекомендованные сообщения

Emiresik

Emiresik 0

Опубликовано:
Опубликовано:

Ребят! Прошу помощи. Голову ломаю уже день 5. Нужно реализовать список правил для свитча huawei s2300 (s2326TP-XX) для пропуска только PPPoE трафика. Все остальное отрезать соответственно. 

Правила написал, вроде работает. Но только стоит включить в соседний порт роутер "неправльным" портом как мне приходят DHCP....

 

 
sysname Quidway
#
 vlan batch 100 to 120
#
 pppoe intermediate-agent information enable
 pppoe intermediate-agent information format circuit-id extend
#
 dhcp enable
#
 undo http server enable
#
 drop illegal-mac alarm
#
acl number 4000
 rule 0 deny l2-protocol 0x8000 destination-mac ffff-ffff-ffff
 rule 10 permit l2-protocol 0x8863 destination-mac ffff-ffff-ffff
 rule 11 permit l2-protocol 0x8863 destination-mac 1617-24fc-23dd source-mac ffff-ffff-0000
 rule 12 permit l2-protocol 0x8864 destination-mac 1617-24fc-24dd source-mac ffff-ffff-0000
#
interface Ethernet0/0/1
 port link-type access
 port default vlan 101
#
interface Ethernet0/0/2
 port link-type access
 port default vlan 101
#
interface Ethernet0/0/3
 port link-type access
 port default vlan 101
Ссылка на сообщение
Поделиться на других сайтах
Emiresik

Emiresik 0

Опубліковано:
  • Автор
Опубліковано:

Пробовал. Вопрос не решается потому что сам свитч не находит траст.

Ссылка на сообщение
Поделиться на других сайтах
Emiresik

Emiresik 0

Опубліковано:
  • Автор
Опубліковано: (відредаговано)

И да. Решил более извратно, но при этом, зарезал все левый трафик, закрыл соседей.

 

vlan batch 100 to 120
#
pppoe intermediate-agent information enable
pppoe intermediate-agent information format circuit-id extend
#
acl number 3000
rule 0 deny udp destination-port eq 445
rule 1 deny udp destination-port range netbios-ns netbios-ssn
rule 2 deny udp destination-port eq 135
rule 3 deny tcp destination-port eq 445
rule 4 deny tcp destination-port range 137 139
rule 5 deny udp source-port eq bootps
rule 6 deny udp source-port eq bootpc
#
acl number 4000
rule 0 deny l2-protocol 0x8000 destination-mac ffff-ffff-ffff
rule 10 permit l2-protocol 0x8863 destination-mac ffff-ffff-ffff
rule 11 permit l2-protocol 0x8863 destination-mac (BRAS-MAC) source-mac ff0
rule 12 permit l2-protocol 0x8864 destination-mac (BRAS-MAC) source-mac ff0
#
traffic classifier PPPoE operator or
if-match acl 3000
if-match acl 4000
traffic classifier UPLINK operator and
if-match acl 4000
#
traffic behavior PPPoE
deny
traffic behavior UPLINK
deny
#
traffic policy PPPoE
classifier PPPoE behavior PPPoE
traffic policy UPLINK
classifier UPLINK behavior UPLINK
#
interface Ethernet0/0/1
port link-type access
port default vlan 101
traffic-policy PPPoE inbound
undo ntdp enable
undo ndp enable
port-isolate enable group 1
#
interface Ethernet0/0/2
port link-type access
port default vlan 102
traffic-policy PPPoE inbound
undo ntdp enable
undo ndp enable
port-isolate enable group 2
#
interface Ethernet0/0/3
port link-type access
port default vlan 103
traffic-policy PPPoE inbound
undo ntdp enable
undo ndp enable
port-isolate enable group 3
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 100 to 120
traffic-policy UPLINK inbound
pppoe uplink-port trusted
Відредаговано Emiresik
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
 Share
Подписчики 0
Перейти до переліку тем

  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Aspen
      Вибір Олта
      Від Aspen
      Доброго дня Хотів порадитись наразі стою перед закупкою олтів для будівництва Планую закупити одразу партію щоб дешевше. Хотів би отримати поради на сьогодні що краще для gPon 
      ZTE /BdCom /huawei
      Основні вимоги
      1. 82 опція підтримка 
      2. Моживість моніторинга 
      3. Універсальність при заміні плат gPon/ XPon 
      4. Доступніть Ону 
      Це загальні вимоги 
      Тому більш цікавить досвід використання з полів, щоб вирішити що закупати. 
      Дуже дякую за вашу думку 
    • Dufrens
      Куплю кабель живлення Molex(4 піна) для MOLEX для ETP48xx/eps30 (фото в темі)
      Від Dufrens
      Доброго дня. Може в когось завалялось таке добро в комплекті чи знає постачальників, окрім еколана?

    • Amigo
      Продам практично нові комутатори H3C (Huawei) S6520-24S-SI
      Від Amigo
      Продам два практично нові комутатори H3C (Huawei) S6520-24S-SI по ціні 21000 грн./шт.
      24 SFP+ порти 1G/10G,
      level L3,
      живлення 220v + 48v,
      споживання до 67Wt,
      Дуже тихі,
      Працюють з будь якими SFP
      Поклали та забули.

    • kotqq
      del
      Від kotqq
      del
    • kotqq
      Продам модуль Huawei SPUb WP1D000SPU01 WP11SPUb для Huawei BSC6900
      Від kotqq
      Продам модуль Huawei WP1D000SPU01, цена 200$
       

×
×
  • Створити нове...