Проблема с Access Control

Эта ветка закрыта для дальнейших ответов. Вы можете создать новую тему, чтобы поделиться своими идеями или задать вопросы.

Проблема с Access Control

Эта ветка закрыта для дальнейших ответов. Вы можете создать новую тему, чтобы поделиться своими идеями или задать вопросы.
Проблема с Access Control
Проблема с Access Control
2020-07-27 11:40:39
Доброго дня, подскажите, пожалуйста, такой вопрос.
Хочу ограничить доступ к коммутатору всех устройств кроме одного.
При настройке Access Control на T1600G-28TS (2 и 3 версии) через web-интерфейс, указываю IP адрес, 32 маску и в меню Access Interface выбираю доступ через HTTP и HTTPS.
После этого у указанного IP доступ по HTTP и HTTPS пропадает, но остается по telnet, ssh, snmp, ping. Также остальные устройства в сети продолжают сохранять полный доступ к коммутатору.
При настройке через cli происходит тоже самое.
Вместо сохранения доступа у указанного IP и блокировки остальных все происходит наоборот.

Где я допускаю ошибку?
  0      
  0      
#1
Опции
10 Ответить
Re: Проблема с Access Control
2020-07-29 08:24:51
Приветствую,
Какая у вас прошивка установлена на коммутаторе?
По идее, все верно, в Access Control вы задаете ip/mac/port которым разрешается доступ к коммутатору по выбранному интерфейсу, но все остальные доступа в этот момент к нему иметь не должны.
  0  
  0  
#1
Опции
Re: Проблема с Access Control
2020-07-29 13:28:52
[quote=Victor_93 post_id=78633 time=1596011091 user_id=7665] Приветствую,
Какая у вас прошивка установлена на коммутаторе?
По идее, все верно, в Access Control вы задаете ip/mac/port которым разрешается доступ к коммутатору по выбранному интерфейсу, но все остальные доступа в этот момент к нему иметь не должны. [/quote]
Изначально пробовал на прошивке 3.0.0 Build 20180130 Rel.33015(s), а вчера купил еще пару новых свичей, поднял до 3.0.5 Build 20200109 Rel.39834(s)
и там вообще ноль реакции на любые настройки. Указывал разные протоколы, IP, маски, доступ не пропадает вообще.
  0  
  0  
#1
Опции
Re: Проблема с Access Control
2020-07-30 14:48:17
Сделайте скриншоты настроек, сохраните файл конфига. Выложите куда- нибудь типа яндекс диска это все архивом. Опишите здесь топологию сети и что хотели этими правилами блокировать, укажите ссылку на яндекс диск
То, как настраивается ACL можете также посмотреть здесь:
  0  
  0  
#1
Опции
Re: Проблема с Access Control
2020-07-31 14:06:51
[quote=reaper post_id=78652 time=1596120497 user_id=46258] Сделайте скриншоты настроек, сохраните файл конфига. Выложите куда- нибудь типа яндекс диска это все архивом. Опишите здесь топологию сети и что хотели этими правилами блокировать, укажите ссылку на яндекс диск
То, как настраивается ACL можете также посмотреть здесь: [/quote]
Топология сети - это комп с ip 192.168.0.254/16, который воткнут в этот свич.
Я настраиваю не ACL, а просто Access Control для ограничения доступа к управлению коммутатором.
Скриншот сделать не могу, т.к. при применении настроек пропадает доступ веб-интерфейсу коммутатора.

user access-control ip-based enable user access-control ip-based 192.168.0.254 255.255.255.255 http https
Этим правилом я разрешаю доступ к http только для 192.168.0.254, так как написано в мануале и предполагается здравым смыслом, и устройствами других вендоров. Вместо этого доступ по http для этого ip пропадает, но остается по другим протоколам и от других ip.

[spoiler=Конфиг]
!T1600G-28TS # vlan 2 name "Corp" # vlan 3 name "WiFi" # vlan 4 name "VoIP" # vlan 5 name "Surv" # vlan 6 name "PACS" # vlan 9 name "WiFi-Guest" # vlan 10 name "Management" # # # # # # # # # # # # # # # # # # # # hostname "sw_test" location "19_office" # logging host index 1 192.168.0.254 6 # system-time ntp UTC+02:00 82.193.104.168 79.142.192.130 12 system-time dst predefined Europe # # # user name admin privilege admin secret 5 $1$F235462646F0@4L7E=E445;B2H1D5B=F756M;C6H75747K0E7,$)-| no service reset-disable # # # # # # # # # # user access-control ip-based enable user access-control ip-based 192.168.0.254 255.255.255.255 http https ip http session timeout 30 # ip route 0.0.0.0 0.0.0.0 192.168.0.1 # # # # loopback-detection # # # # # interface vlan 1 ip address 192.168.11.12 255.255.0.0 ipv6 enable # interface gigabitEthernet 1/0/1 loopback-detection # interface gigabitEthernet 1/0/2 switchport general allowed vlan 2 untagged switchport pvid 2 no switchport general allowed vlan 1 loopback-detection # interface gigabitEthernet 1/0/3 switchport general allowed vlan 3 untagged switchport pvid 3 no switchport general allowed vlan 1 loopback-detection # interface gigabitEthernet 1/0/4 switchport general allowed vlan 4 untagged switchport pvid 4 no switchport general allowed vlan 1 loopback-detection # interface gigabitEthernet 1/0/5 switchport general allowed vlan 5 untagged switchport pvid 5 no switchport general allowed vlan 1 loopback-detection # interface gigabitEthernet 1/0/6 switchport general allowed vlan 6 untagged switchport pvid 6 no switchport general allowed vlan 1 loopback-detection # interface gigabitEthernet 1/0/7 loopback-detection # interface gigabitEthernet 1/0/8 loopback-detection # interface gigabitEthernet 1/0/9 switchport general allowed vlan 9 untagged switchport pvid 9 no switchport general allowed vlan 1 loopback-detection # interface gigabitEthernet 1/0/10 switchport general allowed vlan 10 untagged switchport pvid 10 no switchport general allowed vlan 1 loopback-detection # interface gigabitEthernet 1/0/11 switchport general allowed vlan 2-6,9-10 untagged loopback-detection # interface gigabitEthernet 1/0/12 loopback-detection # interface gigabitEthernet 1/0/13 loopback-detection # interface gigabitEthernet 1/0/14 loopback-detection # interface gigabitEthernet 1/0/15 loopback-detection # interface gigabitEthernet 1/0/16 loopback-detection # interface gigabitEthernet 1/0/17 loopback-detection # interface gigabitEthernet 1/0/18 loopback-detection # interface gigabitEthernet 1/0/19 loopback-detection # interface gigabitEthernet 1/0/20 loopback-detection # interface gigabitEthernet 1/0/21 loopback-detection # interface gigabitEthernet 1/0/22 loopback-detection # interface gigabitEthernet 1/0/23 loopback-detection # interface gigabitEthernet 1/0/24 switchport general allowed vlan 1-6,9-10 tagged switchport acceptable frame tagged loopback-detection # interface gigabitEthernet 1/0/25 loopback-detection # interface gigabitEthernet 1/0/26 loopback-detection # interface gigabitEthernet 1/0/27 loopback-detection # interface gigabitEthernet 1/0/28 loopback-detection # end
  0  
  0  
#1
Опции
Re: Проблема с Access Control
2020-07-31 16:49:09
Нам нужно некоторое время для уточнения информации по данному вопросу, сообщим здесь о результатах
  0  
  0  
#1
Опции
Re: Проблема с Access Control
2020-08-06 08:25:24
[quote=h13.Bishop post_id=78679 time=1596204411 user_id=65435] [quote=reaper post_id=78652 time=1596120497 user_id=46258] Сделайте скриншоты настроек, сохраните файл конфига. Выложите куда- нибудь типа яндекс диска это все архивом. Опишите здесь топологию сети и что хотели этими правилами блокировать, укажите ссылку на яндекс диск
То, как настраивается ACL можете также посмотреть здесь: [/quote]
Топология сети - это комп с ip 192.168.0.254/16, который воткнут в этот свич.
Я настраиваю не ACL, а просто Access Control для ограничения доступа к управлению коммутатором.
Скриншот сделать не могу, т.к. при применении настроек пропадает доступ веб-интерфейсу коммутатора.

user access-control ip-based enable user access-control ip-based 192.168.0.254 255.255.255.255 http https
Этим правилом я разрешаю доступ к http только для 192.168.0.254, так как написано в мануале и предполагается здравым смыслом, и устройствами других вендоров. Вместо этого доступ по http для этого ip пропадает, но остается по другим протоколам и от других ip.

[spoiler=Конфиг]
!T1600G-28TS # vlan 2 name "Corp" # vlan 3 name "WiFi" # vlan 4 name "VoIP" # vlan 5 name "Surv" # vlan 6 name "PACS" # vlan 9 name "WiFi-Guest" # vlan 10 name "Management" # # # # # # # # # # # # # # # # # # # # hostname "sw_test" location "19_office" # logging host index 1 192.168.0.254 6 # system-time ntp UTC+02:00 82.193.104.168 79.142.192.130 12 system-time dst predefined Europe # # # user name admin privilege admin secret 5 $1$F6F0@4L7E=E;B2H1D5B=F6M;C6H7K0E7,$)-| no service reset-disable # # # # # # # # # snmp-server snmp-server group "main" smode v3 slev authNoPriv read "viewDefault" snmp-server user "admin_sw_snmp" local "main" smode v3 slev authNoPriv cmode MD5 cpwd "2d99a82783f31ac04ef71ae1185572d1e2d81e4f6498ed72b605bcfe2f97889a" emode none # user access-control ip-based enable user access-control ip-based 192.168.0.254 255.255.255.255 http https ip http session timeout 30 # ip route 0.0.0.0 0.0.0.0 192.168.0.1 # # # # loopback-detection # # # # # interface vlan 1 ip address 192.168.11.12 255.255.0.0 ipv6 enable # interface gigabitEthernet 1/0/1 loopback-detection # interface gigabitEthernet 1/0/2 switchport general allowed vlan 2 untagged switchport pvid 2 no switchport general allowed vlan 1 loopback-detection # interface gigabitEthernet 1/0/3 switchport general allowed vlan 3 untagged switchport pvid 3 no switchport general allowed vlan 1 loopback-detection # interface gigabitEthernet 1/0/4 switchport general allowed vlan 4 untagged switchport pvid 4 no switchport general allowed vlan 1 loopback-detection # interface gigabitEthernet 1/0/5 switchport general allowed vlan 5 untagged switchport pvid 5 no switchport general allowed vlan 1 loopback-detection # interface gigabitEthernet 1/0/6 switchport general allowed vlan 6 untagged switchport pvid 6 no switchport general allowed vlan 1 loopback-detection # interface gigabitEthernet 1/0/7 loopback-detection # interface gigabitEthernet 1/0/8 loopback-detection # interface gigabitEthernet 1/0/9 switchport general allowed vlan 9 untagged switchport pvid 9 no switchport general allowed vlan 1 loopback-detection # interface gigabitEthernet 1/0/10 switchport general allowed vlan 10 untagged switchport pvid 10 no switchport general allowed vlan 1 loopback-detection # interface gigabitEthernet 1/0/11 switchport general allowed vlan 2-6,9-10 untagged loopback-detection # interface gigabitEthernet 1/0/12 loopback-detection # interface gigabitEthernet 1/0/13 loopback-detection # interface gigabitEthernet 1/0/14 loopback-detection # interface gigabitEthernet 1/0/15 loopback-detection # interface gigabitEthernet 1/0/16 loopback-detection # interface gigabitEthernet 1/0/17 loopback-detection # interface gigabitEthernet 1/0/18 loopback-detection # interface gigabitEthernet 1/0/19 loopback-detection # interface gigabitEthernet 1/0/20 loopback-detection # interface gigabitEthernet 1/0/21 loopback-detection # interface gigabitEthernet 1/0/22 loopback-detection # interface gigabitEthernet 1/0/23 loopback-detection # interface gigabitEthernet 1/0/24 switchport general allowed vlan 1-6,9-10 tagged switchport acceptable frame tagged loopback-detection # interface gigabitEthernet 1/0/25 loopback-detection # interface gigabitEthernet 1/0/26 loopback-detection # interface gigabitEthernet 1/0/27 loopback-detection # interface gigabitEthernet 1/0/28 loopback-detection # end
[/quote]
Не могли бы вы уточнить, менялись ли у вас номера портов по умолчанию для доступа к http/https (80/443) и другим протоколам доступа?
  0  
  0  
#1
Опции
Re: Проблема с Access Control
2020-08-17 13:03:24
[quote=Victor_93 post_id=78812 time=1596702324 user_id=7665] Не могли бы вы уточнить, менялись ли у вас номера портов по умолчанию для доступа к http/https (80/443) и другим протоколам доступа? [/quote] Блин, по-умолчанию на форуме выключены уведомления на почту. Прошу прощения, забыл проверить ответы.
Нет, потрты не менял. Свич достал из коробки, попробовал на стоковой прошивке, прошил на новую, проверил на новой. Детальной настройки не проводилось.
  0  
  0  
#1
Опции
Re: Проблема с Access Control
2020-08-20 07:41:22
Разработчики провели тест с указанной моделью и прошивкой в своей лаборатории и описанная вами ситуация наблюдается только в том случае, если порты по умолчанию к http и https - или другим протоколам - были изменены.
То есть, на данный момент, функционал Access Control (они оптимизируют его в будущем) работает только с дефолтными портами 80/443 (и т.д.), то есть, если вы сменили их, то ip адрес, которому вы изначально дали доступ к протоколам http/https (и т.д.) - не будет иметь доступа через эти протоколы к управлению коммутатором, но в тоже время - все другие адреса получат доступ к коммутатору по протоколам, на которых был изменен порт по умолчанию.
Поэтому, давайте еще раз проверим, были ли изменены порты по умолчанию для доступа к http/https.
Лучше, если вы сможете сделать сброс настроек свича и проверить на дефолтных настройках как отрабатывает данная функция. Повторюсь, описанная ситуация наблюдается только при изменении порта по молчанию для протокола.
  0  
  0  
#1
Опции
Re: Проблема с Access Control
2020-08-20 12:33:53
[quote=Victor_93 post_id=79014 time=1597909282 user_id=7665] Разработчики провели тест с указанной моделью и прошивкой в своей лаборатории и описанная вами ситуация наблюдается только в том случае, если порты по умолчанию к http и https - или другим протоколам - были изменены.
То есть, на данный момент, функционал Access Control (они оптимизируют его в будущем) работает только с дефолтными портами 80/443 (и т.д.), то есть, если вы сменили их, то ip адрес, которому вы изначально дали доступ к протоколам http/https (и т.д.) - не будет иметь доступа через эти протоколы к управлению коммутатором, но в тоже время - все другие адреса получат доступ к коммутатору по протоколам, на которых был изменен порт по умолчанию.
Поэтому, давайте еще раз проверим, были ли изменены порты по умолчанию для доступа к http/https.
Лучше, если вы сможете сделать сброс настроек свича и проверить на дефолтных настройках как отрабатывает данная функция. Повторюсь, описанная ситуация наблюдается только при изменении порта по молчанию для протокола. [/quote]
Если сменить порт http, то в конфиге появляется строчка "ip http port ХХХХ". В приведенном мной конфиге, такая строчка отсутствует и, соответственно, порты используются по-умолчанию. А если бы я случайно сменил порт на другой, то я, наверное, это бы заметил.

Сейчас повторил конфигурацию.
Схема:
- коммутатор - 192.168.11.12/24
- пк 1 - 192.168.0.254/24
- пк 2 - 192.168.0.209/24
С обоих пк доступ есть по telnet и по http, порты стандартные, все работает, все ходит.

Пишу в консольку:
user access-control ip-based enable
user access-control ip-based 192.168.0.254 255.255.255.255 http https
Доступ к http\https должен остаться только у 0.254, доступ по другим протоколам и у других IP должен пропасть.

По факту. На пк 0.254 остается доступ ко всему, телнет работает. На пк 0.209 пропадает доступ по http\https, но работает телнет. :(

В общем, вот так. Cначала думал, что делаю что-то не так, но начинаю подозревать, что что-то не так делает свич при такой конфигрурации.
Может если оно все в одной подсети, то оно и работает правильно, но мне так не нужно.
Проблема есть на v2 железе и v3 c прошивками 3.0 и 3.0.5.

Еще раз конфиг без ненужного (vlan, snmp, int). [spoiler=конфиг]
!T1600G-28TS # # hostname "sw_test" location "19_office" # logging host index 1 192.168.0.254 6 # system-time ntp UTC+02:00 82.193.104.168 79.142.192.130 12 system-time dst predefined Europe # # user name admin privilege admin secret 5 $1$F132316F0@4L7E=E;B2H1231D5B=F6M;C6ASDH7K0E7,$)-| no service reset-disable # # user access-control ip-based enable user access-control ip-based 192.168.0.254 255.255.255.255 http https ip http session timeout 30 # ip route 0.0.0.0 0.0.0.0 192.168.11.1 # # # loopback-detection # # interface vlan 1 ip address 192.168.11.12 255.255.255.0 ipv6 enable # interface gigabitEthernet 1/0/1 loopback-detection # interface gigabitEthernet 1/0/28 loopback-detection # end
  0  
  0  
#1
Опции
Re: Проблема с Access Control
2020-08-21 15:05:08
Нам потребуется некоторое время для уточнения информации у разработчиков.
  0  
  0  
#1
Опции

Информация

Поблагодарили: 0

Просмотры: 1921

Ответы: 10

Статьи по теме