Проблема с Access Control
Эта ветка закрыта для дальнейших ответов. Вы можете создать новую тему, чтобы поделиться своими идеями или задать вопросы.
Проблема с Access Control
Посты: 5
Полезный: 0
Решения: 0
Истории: 0
Дата регистрации: 2020-07-23
Проблема с Access Control
2020-07-27 11:40:39
Теги:
Хочу ограничить доступ к коммутатору всех устройств кроме одного.
При настройке Access Control на T1600G-28TS (2 и 3 версии) через web-интерфейс, указываю IP адрес, 32 маску и в меню Access Interface выбираю доступ через HTTP и HTTPS.
После этого у указанного IP доступ по HTTP и HTTPS пропадает, но остается по telnet, ssh, snmp, ping. Также остальные устройства в сети продолжают сохранять полный доступ к коммутатору.
При настройке через cli происходит тоже самое.
Вместо сохранения доступа у указанного IP и блокировки остальных все происходит наоборот.
Где я допускаю ошибку?
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
#1
Опции
- Копировать ссылку
- Подписаться
- Добавить в закладки
- Пожаловаться на неуместный контент
Управление потоком
Управление объявлениями
10 Ответить
Посты: 939
Полезный: 32
Решения: 12
Истории: 0
Дата регистрации: 2012-12-01
Re: Проблема с Access Control
2020-07-29 08:24:51
Какая у вас прошивка установлена на коммутаторе?
По идее, все верно, в Access Control вы задаете ip/mac/port которым разрешается доступ к коммутатору по выбранному интерфейсу, но все остальные доступа в этот момент к нему иметь не должны.
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
#1
Опции
- Копировать ссылку
- Пожаловаться на неуместный контент
Управление потоком
Управление объявлениями
Посты: 5
Полезный: 0
Решения: 0
Истории: 0
Дата регистрации: 2020-07-23
Re: Проблема с Access Control
2020-07-29 13:28:52
[quote=Victor_93 post_id=78633 time=1596011091 user_id=7665] Приветствую,Изначально пробовал на прошивке 3.0.0 Build 20180130 Rel.33015(s), а вчера купил еще пару новых свичей, поднял до 3.0.5 Build 20200109 Rel.39834(s)
Какая у вас прошивка установлена на коммутаторе?
По идее, все верно, в Access Control вы задаете ip/mac/port которым разрешается доступ к коммутатору по выбранному интерфейсу, но все остальные доступа в этот момент к нему иметь не должны. [/quote]
и там вообще ноль реакции на любые настройки. Указывал разные протоколы, IP, маски, доступ не пропадает вообще.
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
#1
Опции
- Копировать ссылку
- Пожаловаться на неуместный контент
Управление потоком
Управление объявлениями
Посты: 967
Полезный: 43
Решения: 8
Истории: 0
Дата регистрации: 2017-06-03
Re: Проблема с Access Control
2020-07-30 14:48:17
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
#1
Опции
- Копировать ссылку
- Пожаловаться на неуместный контент
Управление потоком
Управление объявлениями
Посты: 5
Полезный: 0
Решения: 0
Истории: 0
Дата регистрации: 2020-07-23
Re: Проблема с Access Control
2020-07-31 14:06:51
[quote=reaper post_id=78652 time=1596120497 user_id=46258] Сделайте скриншоты настроек, сохраните файл конфига. Выложите куда- нибудь типа яндекс диска это все архивом. Опишите здесь топологию сети и что хотели этими правилами блокировать, укажите ссылку на яндекс дискТопология сети - это комп с ip 192.168.0.254/16, который воткнут в этот свич.
То, как настраивается ACL можете также посмотреть здесь: [/quote]
Я настраиваю не ACL, а просто Access Control для ограничения доступа к управлению коммутатором.
Скриншот сделать не могу, т.к. при применении настроек пропадает доступ веб-интерфейсу коммутатора.
user access-control ip-based enable
user access-control ip-based 192.168.0.254 255.255.255.255 http https
Этим правилом я разрешаю доступ к http только для 192.168.0.254, так как написано в мануале и предполагается здравым смыслом, и устройствами других вендоров. Вместо этого доступ по http для этого ip пропадает, но остается по другим протоколам и от других ip.
!T1600G-28TS
#
vlan 2
name "Corp"
#
vlan 3
name "WiFi"
#
vlan 4
name "VoIP"
#
vlan 5
name "Surv"
#
vlan 6
name "PACS"
#
vlan 9
name "WiFi-Guest"
#
vlan 10
name "Management"
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
hostname "sw_test"
location "19_office"
#
logging host index 1 192.168.0.254 6
#
system-time ntp UTC+02:00 82.193.104.168 79.142.192.130 12
system-time dst predefined Europe
#
#
#
user name admin privilege admin secret 5 $1$F235462646F0@4L7E=E445;B2H1D5B=F756M;C6H75747K0E7,$)-|
no service reset-disable
#
#
#
#
#
#
#
#
#
#
user access-control ip-based enable
user access-control ip-based 192.168.0.254 255.255.255.255 http https
ip http session timeout 30
#
ip route 0.0.0.0 0.0.0.0 192.168.0.1
#
#
#
#
loopback-detection
#
#
#
#
#
interface vlan 1
ip address 192.168.11.12 255.255.0.0
ipv6 enable
#
interface gigabitEthernet 1/0/1
loopback-detection
#
interface gigabitEthernet 1/0/2
switchport general allowed vlan 2 untagged
switchport pvid 2
no switchport general allowed vlan 1
loopback-detection
#
interface gigabitEthernet 1/0/3
switchport general allowed vlan 3 untagged
switchport pvid 3
no switchport general allowed vlan 1
loopback-detection
#
interface gigabitEthernet 1/0/4
switchport general allowed vlan 4 untagged
switchport pvid 4
no switchport general allowed vlan 1
loopback-detection
#
interface gigabitEthernet 1/0/5
switchport general allowed vlan 5 untagged
switchport pvid 5
no switchport general allowed vlan 1
loopback-detection
#
interface gigabitEthernet 1/0/6
switchport general allowed vlan 6 untagged
switchport pvid 6
no switchport general allowed vlan 1
loopback-detection
#
interface gigabitEthernet 1/0/7
loopback-detection
#
interface gigabitEthernet 1/0/8
loopback-detection
#
interface gigabitEthernet 1/0/9
switchport general allowed vlan 9 untagged
switchport pvid 9
no switchport general allowed vlan 1
loopback-detection
#
interface gigabitEthernet 1/0/10
switchport general allowed vlan 10 untagged
switchport pvid 10
no switchport general allowed vlan 1
loopback-detection
#
interface gigabitEthernet 1/0/11
switchport general allowed vlan 2-6,9-10 untagged
loopback-detection
#
interface gigabitEthernet 1/0/12
loopback-detection
#
interface gigabitEthernet 1/0/13
loopback-detection
#
interface gigabitEthernet 1/0/14
loopback-detection
#
interface gigabitEthernet 1/0/15
loopback-detection
#
interface gigabitEthernet 1/0/16
loopback-detection
#
interface gigabitEthernet 1/0/17
loopback-detection
#
interface gigabitEthernet 1/0/18
loopback-detection
#
interface gigabitEthernet 1/0/19
loopback-detection
#
interface gigabitEthernet 1/0/20
loopback-detection
#
interface gigabitEthernet 1/0/21
loopback-detection
#
interface gigabitEthernet 1/0/22
loopback-detection
#
interface gigabitEthernet 1/0/23
loopback-detection
#
interface gigabitEthernet 1/0/24
switchport general allowed vlan 1-6,9-10 tagged
switchport acceptable frame tagged
loopback-detection
#
interface gigabitEthernet 1/0/25
loopback-detection
#
interface gigabitEthernet 1/0/26
loopback-detection
#
interface gigabitEthernet 1/0/27
loopback-detection
#
interface gigabitEthernet 1/0/28
loopback-detection
#
end
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
#1
Опции
- Копировать ссылку
- Пожаловаться на неуместный контент
Управление потоком
Управление объявлениями
Посты: 967
Полезный: 43
Решения: 8
Истории: 0
Дата регистрации: 2017-06-03
Re: Проблема с Access Control
2020-07-31 16:49:09
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
#1
Опции
- Копировать ссылку
- Пожаловаться на неуместный контент
Управление потоком
Управление объявлениями
Посты: 939
Полезный: 32
Решения: 12
Истории: 0
Дата регистрации: 2012-12-01
Re: Проблема с Access Control
2020-08-06 08:25:24
[quote=h13.Bishop post_id=78679 time=1596204411 user_id=65435]Не могли бы вы уточнить, менялись ли у вас номера портов по умолчанию для доступа к http/https (80/443) и другим протоколам доступа?[quote=reaper post_id=78652 time=1596120497 user_id=46258] Сделайте скриншоты настроек, сохраните файл конфига. Выложите куда- нибудь типа яндекс диска это все архивом. Опишите здесь топологию сети и что хотели этими правилами блокировать, укажите ссылку на яндекс дискТопология сети - это комп с ip 192.168.0.254/16, который воткнут в этот свич.
То, как настраивается ACL можете также посмотреть здесь: [/quote]
Я настраиваю не ACL, а просто Access Control для ограничения доступа к управлению коммутатором.
Скриншот сделать не могу, т.к. при применении настроек пропадает доступ веб-интерфейсу коммутатора.
Этим правилом я разрешаю доступ к http только для 192.168.0.254, так как написано в мануале и предполагается здравым смыслом, и устройствами других вендоров. Вместо этого доступ по http для этого ip пропадает, но остается по другим протоколам и от других ip.
user access-control ip-based enable user access-control ip-based 192.168.0.254 255.255.255.255 http https
[spoiler=Конфиг] [/quote]
!T1600G-28TS # vlan 2 name "Corp" # vlan 3 name "WiFi" # vlan 4 name "VoIP" # vlan 5 name "Surv" # vlan 6 name "PACS" # vlan 9 name "WiFi-Guest" # vlan 10 name "Management" # # # # # # # # # # # # # # # # # # # # hostname "sw_test" location "19_office" # logging host index 1 192.168.0.254 6 # system-time ntp UTC+02:00 82.193.104.168 79.142.192.130 12 system-time dst predefined Europe # # # user name admin privilege admin secret 5 $1$F6F0@4L7E=E;B2H1D5B=F6M;C6H7K0E7,$)-| no service reset-disable # # # # # # # # # snmp-server snmp-server group "main" smode v3 slev authNoPriv read "viewDefault" snmp-server user "admin_sw_snmp" local "main" smode v3 slev authNoPriv cmode MD5 cpwd "2d99a82783f31ac04ef71ae1185572d1e2d81e4f6498ed72b605bcfe2f97889a" emode none # user access-control ip-based enable user access-control ip-based 192.168.0.254 255.255.255.255 http https ip http session timeout 30 # ip route 0.0.0.0 0.0.0.0 192.168.0.1 # # # # loopback-detection # # # # # interface vlan 1 ip address 192.168.11.12 255.255.0.0 ipv6 enable # interface gigabitEthernet 1/0/1 loopback-detection # interface gigabitEthernet 1/0/2 switchport general allowed vlan 2 untagged switchport pvid 2 no switchport general allowed vlan 1 loopback-detection # interface gigabitEthernet 1/0/3 switchport general allowed vlan 3 untagged switchport pvid 3 no switchport general allowed vlan 1 loopback-detection # interface gigabitEthernet 1/0/4 switchport general allowed vlan 4 untagged switchport pvid 4 no switchport general allowed vlan 1 loopback-detection # interface gigabitEthernet 1/0/5 switchport general allowed vlan 5 untagged switchport pvid 5 no switchport general allowed vlan 1 loopback-detection # interface gigabitEthernet 1/0/6 switchport general allowed vlan 6 untagged switchport pvid 6 no switchport general allowed vlan 1 loopback-detection # interface gigabitEthernet 1/0/7 loopback-detection # interface gigabitEthernet 1/0/8 loopback-detection # interface gigabitEthernet 1/0/9 switchport general allowed vlan 9 untagged switchport pvid 9 no switchport general allowed vlan 1 loopback-detection # interface gigabitEthernet 1/0/10 switchport general allowed vlan 10 untagged switchport pvid 10 no switchport general allowed vlan 1 loopback-detection # interface gigabitEthernet 1/0/11 switchport general allowed vlan 2-6,9-10 untagged loopback-detection # interface gigabitEthernet 1/0/12 loopback-detection # interface gigabitEthernet 1/0/13 loopback-detection # interface gigabitEthernet 1/0/14 loopback-detection # interface gigabitEthernet 1/0/15 loopback-detection # interface gigabitEthernet 1/0/16 loopback-detection # interface gigabitEthernet 1/0/17 loopback-detection # interface gigabitEthernet 1/0/18 loopback-detection # interface gigabitEthernet 1/0/19 loopback-detection # interface gigabitEthernet 1/0/20 loopback-detection # interface gigabitEthernet 1/0/21 loopback-detection # interface gigabitEthernet 1/0/22 loopback-detection # interface gigabitEthernet 1/0/23 loopback-detection # interface gigabitEthernet 1/0/24 switchport general allowed vlan 1-6,9-10 tagged switchport acceptable frame tagged loopback-detection # interface gigabitEthernet 1/0/25 loopback-detection # interface gigabitEthernet 1/0/26 loopback-detection # interface gigabitEthernet 1/0/27 loopback-detection # interface gigabitEthernet 1/0/28 loopback-detection # end
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
#1
Опции
- Копировать ссылку
- Пожаловаться на неуместный контент
Управление потоком
Управление объявлениями
Посты: 5
Полезный: 0
Решения: 0
Истории: 0
Дата регистрации: 2020-07-23
Re: Проблема с Access Control
2020-08-17 13:03:24
[quote=Victor_93 post_id=78812 time=1596702324 user_id=7665] Не могли бы вы уточнить, менялись ли у вас номера портов по умолчанию для доступа к http/https (80/443) и другим протоколам доступа? [/quote]Блин, по-умолчанию на форуме выключены уведомления на почту. Прошу прощения, забыл проверить ответы.
Нет, потрты не менял. Свич достал из коробки, попробовал на стоковой прошивке, прошил на новую, проверил на новой. Детальной настройки не проводилось.
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
#1
Опции
- Копировать ссылку
- Пожаловаться на неуместный контент
Управление потоком
Управление объявлениями
Посты: 939
Полезный: 32
Решения: 12
Истории: 0
Дата регистрации: 2012-12-01
Re: Проблема с Access Control
2020-08-20 07:41:22
То есть, на данный момент, функционал Access Control (они оптимизируют его в будущем) работает только с дефолтными портами 80/443 (и т.д.), то есть, если вы сменили их, то ip адрес, которому вы изначально дали доступ к протоколам http/https (и т.д.) - не будет иметь доступа через эти протоколы к управлению коммутатором, но в тоже время - все другие адреса получат доступ к коммутатору по протоколам, на которых был изменен порт по умолчанию.
Поэтому, давайте еще раз проверим, были ли изменены порты по умолчанию для доступа к http/https.
Лучше, если вы сможете сделать сброс настроек свича и проверить на дефолтных настройках как отрабатывает данная функция. Повторюсь, описанная ситуация наблюдается только при изменении порта по молчанию для протокола.
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
#1
Опции
- Копировать ссылку
- Пожаловаться на неуместный контент
Управление потоком
Управление объявлениями
Посты: 5
Полезный: 0
Решения: 0
Истории: 0
Дата регистрации: 2020-07-23
Re: Проблема с Access Control
2020-08-20 12:33:53
[quote=Victor_93 post_id=79014 time=1597909282 user_id=7665] Разработчики провели тест с указанной моделью и прошивкой в своей лаборатории и описанная вами ситуация наблюдается только в том случае, если порты по умолчанию к http и https - или другим протоколам - были изменены.Если сменить порт http, то в конфиге появляется строчка "ip http port ХХХХ". В приведенном мной конфиге, такая строчка отсутствует и, соответственно, порты используются по-умолчанию. А если бы я случайно сменил порт на другой, то я, наверное, это бы заметил.
То есть, на данный момент, функционал Access Control (они оптимизируют его в будущем) работает только с дефолтными портами 80/443 (и т.д.), то есть, если вы сменили их, то ip адрес, которому вы изначально дали доступ к протоколам http/https (и т.д.) - не будет иметь доступа через эти протоколы к управлению коммутатором, но в тоже время - все другие адреса получат доступ к коммутатору по протоколам, на которых был изменен порт по умолчанию.
Поэтому, давайте еще раз проверим, были ли изменены порты по умолчанию для доступа к http/https.
Лучше, если вы сможете сделать сброс настроек свича и проверить на дефолтных настройках как отрабатывает данная функция. Повторюсь, описанная ситуация наблюдается только при изменении порта по молчанию для протокола. [/quote]
Сейчас повторил конфигурацию.
Схема:
- коммутатор - 192.168.11.12/24
- пк 1 - 192.168.0.254/24
- пк 2 - 192.168.0.209/24
С обоих пк доступ есть по telnet и по http, порты стандартные, все работает, все ходит.
Пишу в консольку:
user access-control ip-based enable
user access-control ip-based 192.168.0.254 255.255.255.255 http https
Доступ к http\https должен остаться только у 0.254, доступ по другим протоколам и у других IP должен пропасть.
По факту. На пк 0.254 остается доступ ко всему, телнет работает. На пк 0.209 пропадает доступ по http\https, но работает телнет.
В общем, вот так. Cначала думал, что делаю что-то не так, но начинаю подозревать, что что-то не так делает свич при такой конфигрурации.
Может если оно все в одной подсети, то оно и работает правильно, но мне так не нужно.
Проблема есть на v2 железе и v3 c прошивками 3.0 и 3.0.5.
Еще раз конфиг без ненужного (vlan, snmp, int).
!T1600G-28TS
#
#
hostname "sw_test"
location "19_office"
#
logging host index 1 192.168.0.254 6
#
system-time ntp UTC+02:00 82.193.104.168 79.142.192.130 12
system-time dst predefined Europe
#
#
user name admin privilege admin secret 5 $1$F132316F0@4L7E=E;B2H1231D5B=F6M;C6ASDH7K0E7,$)-|
no service reset-disable
#
#
user access-control ip-based enable
user access-control ip-based 192.168.0.254 255.255.255.255 http https
ip http session timeout 30
#
ip route 0.0.0.0 0.0.0.0 192.168.11.1
#
#
#
loopback-detection
#
#
interface vlan 1
ip address 192.168.11.12 255.255.255.0
ipv6 enable
#
interface gigabitEthernet 1/0/1
loopback-detection
#
interface gigabitEthernet 1/0/28
loopback-detection
#
end
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
#1
Опции
- Копировать ссылку
- Пожаловаться на неуместный контент
Управление потоком
Управление объявлениями
Посты: 939
Полезный: 32
Решения: 12
Истории: 0
Дата регистрации: 2012-12-01
Re: Проблема с Access Control
2020-08-21 15:05:08
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
0
Мы ценим Ваш отзыв. Не стесняйтесь, дайте нам знать больше. Войдите, чтобы отправить отзыв.
#1
Опции
- Копировать ссылку
- Пожаловаться на неуместный контент
Управление потоком
Управление объявлениями
Посты: 5
Полезный: 0
Решения: 0
Истории: 0
Дата регистрации: 2020-07-23
Информация
Поблагодарили: 0
Просмотры: 1992
Ответы: 10
Избиратели 0
За него еще никто не проголосовал.
Теги
Пожаловаться на неуместный контент
Модуль переноса
Новое сообщение