Проблема с Access Control

Smart коммутатор с 24 гигабитными портами и 4 комбинированными разъемами SFP
Ответить
h13.Bishop
Сообщения: 3
Зарегистрирован: 23 июл 2020, 20:46
Страна: Украина

Проблема с Access Control

Сообщение h13.Bishop » 27 июл 2020, 14:40

Доброго дня, подскажите, пожалуйста, такой вопрос.
Хочу ограничить доступ к коммутатору всех устройств кроме одного.
При настройке Access Control на T1600G-28TS (2 и 3 версии) через web-интерфейс, указываю IP адрес, 32 маску и в меню Access Interface выбираю доступ через HTTP и HTTPS.
После этого у указанного IP доступ по HTTP и HTTPS пропадает, но остается по telnet, ssh, snmp, ping. Также остальные устройства в сети продолжают сохранять полный доступ к коммутатору.
При настройке через cli происходит тоже самое.
Вместо сохранения доступа у указанного IP и блокировки остальных все происходит наоборот.

Где я допускаю ошибку?

Victor_93
Модератор
Модератор
Сообщения: 674
Зарегистрирован: 02 дек 2012, 03:32
Страна: Россия

Re: Проблема с Access Control

Сообщение Victor_93 » 29 июл 2020, 11:24

Приветствую,
Какая у вас прошивка установлена на коммутаторе?
По идее, все верно, в Access Control вы задаете ip/mac/port которым разрешается доступ к коммутатору по выбранному интерфейсу, но все остальные доступа в этот момент к нему иметь не должны.

h13.Bishop
Сообщения: 3
Зарегистрирован: 23 июл 2020, 20:46
Страна: Украина

Re: Проблема с Access Control

Сообщение h13.Bishop » 29 июл 2020, 16:28

Victor_93 писал(а):
29 июл 2020, 11:24
Приветствую,
Какая у вас прошивка установлена на коммутаторе?
По идее, все верно, в Access Control вы задаете ip/mac/port которым разрешается доступ к коммутатору по выбранному интерфейсу, но все остальные доступа в этот момент к нему иметь не должны.
Изначально пробовал на прошивке 3.0.0 Build 20180130 Rel.33015(s), а вчера купил еще пару новых свичей, поднял до 3.0.5 Build 20200109 Rel.39834(s)
и там вообще ноль реакции на любые настройки. Указывал разные протоколы, IP, маски, доступ не пропадает вообще.

reaper
Модератор
Модератор
Сообщения: 378
Зарегистрирован: 03 июн 2017, 20:11
Страна: Россия

Re: Проблема с Access Control

Сообщение reaper » 30 июл 2020, 17:48

Сделайте скриншоты настроек, сохраните файл конфига. Выложите куда- нибудь типа яндекс диска это все архивом. Опишите здесь топологию сети и что хотели этими правилами блокировать, укажите ссылку на яндекс диск
То, как настраивается ACL можете также посмотреть здесь: https://www.tp-link.com/us/configuratio ... tAnchor002

h13.Bishop
Сообщения: 3
Зарегистрирован: 23 июл 2020, 20:46
Страна: Украина

Re: Проблема с Access Control

Сообщение h13.Bishop » 31 июл 2020, 17:06

reaper писал(а):
30 июл 2020, 17:48
Сделайте скриншоты настроек, сохраните файл конфига. Выложите куда- нибудь типа яндекс диска это все архивом. Опишите здесь топологию сети и что хотели этими правилами блокировать, укажите ссылку на яндекс диск
То, как настраивается ACL можете также посмотреть здесь: https://www.tp-link.com/us/configuratio ... tAnchor002
Топология сети - это комп с ip 192.168.0.254/16, который воткнут в этот свич.
Я настраиваю не ACL, а просто Access Control для ограничения доступа к управлению коммутатором.
Скриншот сделать не могу, т.к. при применении настроек пропадает доступ веб-интерфейсу коммутатора.

Код: Выделить всё

user access-control ip-based enable
user access-control ip-based 192.168.0.254 255.255.255.255 http https
Этим правилом я разрешаю доступ к http только для 192.168.0.254, так как написано в мануале и предполагается здравым смыслом, и устройствами других вендоров. Вместо этого доступ по http для этого ip пропадает, но остается по другим протоколам и от других ip.

Код: Выделить всё

!T1600G-28TS
#
vlan 2
 name "Corp"
#
vlan 3
 name "WiFi"
#
vlan 4
 name "VoIP"
#
vlan 5
 name "Surv"
#
vlan 6
 name "PACS"
#
vlan 9
 name "WiFi-Guest"
#
vlan 10
 name "Management"
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
hostname "sw_test"
location "19_office"
#
logging host index 1 192.168.0.254 6
#
system-time ntp UTC+02:00 82.193.104.168 79.142.192.130 12
system-time dst predefined Europe
#
#
#
user name admin privilege admin secret 5 $1$F6F0@4L7E=E;B2H1D5B=F6M;C6H7K0E7,$)-|
no service reset-disable
#
#
#
#
#
#
#
#
#
snmp-server
snmp-server group "main" smode v3 slev authNoPriv read "viewDefault"
snmp-server user "admin_sw_snmp" local "main" smode v3 slev authNoPriv cmode MD5 cpwd "2d99a82783f31ac04ef71ae1185572d1e2d81e4f6498ed72b605bcfe2f97889a" emode none
#
user access-control ip-based enable
user access-control ip-based 192.168.0.254 255.255.255.255 http https
ip http session timeout 30
#
ip route 0.0.0.0 0.0.0.0 192.168.0.1
#
#

#
#
loopback-detection
#
#
#
#
#
interface vlan 1
  ip address 192.168.11.12 255.255.0.0
  ipv6 enable
#
interface gigabitEthernet 1/0/1
  
  loopback-detection
#
interface gigabitEthernet 1/0/2
  switchport general allowed vlan 2 untagged
  switchport pvid 2
  no switchport general allowed vlan 1
  
  loopback-detection
#
interface gigabitEthernet 1/0/3
  switchport general allowed vlan 3 untagged
  switchport pvid 3
  no switchport general allowed vlan 1
  
  loopback-detection
#
interface gigabitEthernet 1/0/4
  switchport general allowed vlan 4 untagged
  switchport pvid 4
  no switchport general allowed vlan 1
  
  loopback-detection
#
interface gigabitEthernet 1/0/5
  switchport general allowed vlan 5 untagged
  switchport pvid 5
  no switchport general allowed vlan 1
  
  loopback-detection
#
interface gigabitEthernet 1/0/6
  switchport general allowed vlan 6 untagged
  switchport pvid 6
  no switchport general allowed vlan 1
  
  loopback-detection
#
interface gigabitEthernet 1/0/7
  
  loopback-detection
#
interface gigabitEthernet 1/0/8
  
  loopback-detection
#
interface gigabitEthernet 1/0/9
  switchport general allowed vlan 9 untagged
  switchport pvid 9
  no switchport general allowed vlan 1
  
  loopback-detection
#
interface gigabitEthernet 1/0/10
  switchport general allowed vlan 10 untagged
  switchport pvid 10
  no switchport general allowed vlan 1
  
  loopback-detection
#
interface gigabitEthernet 1/0/11
  switchport general allowed vlan 2-6,9-10 untagged
  
  loopback-detection
#
interface gigabitEthernet 1/0/12
  
  loopback-detection
#
interface gigabitEthernet 1/0/13
  
  loopback-detection
#
interface gigabitEthernet 1/0/14
  
  loopback-detection
#
interface gigabitEthernet 1/0/15
  
  loopback-detection
#
interface gigabitEthernet 1/0/16
  
  loopback-detection
#
interface gigabitEthernet 1/0/17
  
  loopback-detection
#
interface gigabitEthernet 1/0/18
  
  loopback-detection
#
interface gigabitEthernet 1/0/19
  
  loopback-detection
#
interface gigabitEthernet 1/0/20
  
  loopback-detection
#
interface gigabitEthernet 1/0/21
  
  loopback-detection
#
interface gigabitEthernet 1/0/22
  
  loopback-detection
#
interface gigabitEthernet 1/0/23
  
  loopback-detection
#
interface gigabitEthernet 1/0/24
  switchport general allowed vlan 1-6,9-10 tagged
  switchport acceptable frame tagged
  
  loopback-detection
#
interface gigabitEthernet 1/0/25
  
  loopback-detection
#
interface gigabitEthernet 1/0/26
  
  loopback-detection
#
interface gigabitEthernet 1/0/27
  
  loopback-detection
#
interface gigabitEthernet 1/0/28
  
  loopback-detection
#
end
 

reaper
Модератор
Модератор
Сообщения: 378
Зарегистрирован: 03 июн 2017, 20:11
Страна: Россия

Re: Проблема с Access Control

Сообщение reaper » 31 июл 2020, 19:49

Нам нужно некоторое время для уточнения информации по данному вопросу, сообщим здесь о результатах

Victor_93
Модератор
Модератор
Сообщения: 674
Зарегистрирован: 02 дек 2012, 03:32
Страна: Россия

Re: Проблема с Access Control

Сообщение Victor_93 » 06 авг 2020, 11:25

h13.Bishop писал(а):
31 июл 2020, 17:06
reaper писал(а):
30 июл 2020, 17:48
Сделайте скриншоты настроек, сохраните файл конфига. Выложите куда- нибудь типа яндекс диска это все архивом. Опишите здесь топологию сети и что хотели этими правилами блокировать, укажите ссылку на яндекс диск
То, как настраивается ACL можете также посмотреть здесь: https://www.tp-link.com/us/configuratio ... tAnchor002
Топология сети - это комп с ip 192.168.0.254/16, который воткнут в этот свич.
Я настраиваю не ACL, а просто Access Control для ограничения доступа к управлению коммутатором.
Скриншот сделать не могу, т.к. при применении настроек пропадает доступ веб-интерфейсу коммутатора.

Код: Выделить всё

user access-control ip-based enable
user access-control ip-based 192.168.0.254 255.255.255.255 http https
Этим правилом я разрешаю доступ к http только для 192.168.0.254, так как написано в мануале и предполагается здравым смыслом, и устройствами других вендоров. Вместо этого доступ по http для этого ip пропадает, но остается по другим протоколам и от других ip.

Код: Выделить всё

!T1600G-28TS
#
vlan 2
 name "Corp"
#
vlan 3
 name "WiFi"
#
vlan 4
 name "VoIP"
#
vlan 5
 name "Surv"
#
vlan 6
 name "PACS"
#
vlan 9
 name "WiFi-Guest"
#
vlan 10
 name "Management"
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
hostname "sw_test"
location "19_office"
#
logging host index 1 192.168.0.254 6
#
system-time ntp UTC+02:00 82.193.104.168 79.142.192.130 12
system-time dst predefined Europe
#
#
#
user name admin privilege admin secret 5 $1$F6F0@4L7E=E;B2H1D5B=F6M;C6H7K0E7,$)-|
no service reset-disable
#
#
#
#
#
#
#
#
#
snmp-server
snmp-server group "main" smode v3 slev authNoPriv read "viewDefault"
snmp-server user "admin_sw_snmp" local "main" smode v3 slev authNoPriv cmode MD5 cpwd "2d99a82783f31ac04ef71ae1185572d1e2d81e4f6498ed72b605bcfe2f97889a" emode none
#
user access-control ip-based enable
user access-control ip-based 192.168.0.254 255.255.255.255 http https
ip http session timeout 30
#
ip route 0.0.0.0 0.0.0.0 192.168.0.1
#
#

#
#
loopback-detection
#
#
#
#
#
interface vlan 1
  ip address 192.168.11.12 255.255.0.0
  ipv6 enable
#
interface gigabitEthernet 1/0/1
  
  loopback-detection
#
interface gigabitEthernet 1/0/2
  switchport general allowed vlan 2 untagged
  switchport pvid 2
  no switchport general allowed vlan 1
  
  loopback-detection
#
interface gigabitEthernet 1/0/3
  switchport general allowed vlan 3 untagged
  switchport pvid 3
  no switchport general allowed vlan 1
  
  loopback-detection
#
interface gigabitEthernet 1/0/4
  switchport general allowed vlan 4 untagged
  switchport pvid 4
  no switchport general allowed vlan 1
  
  loopback-detection
#
interface gigabitEthernet 1/0/5
  switchport general allowed vlan 5 untagged
  switchport pvid 5
  no switchport general allowed vlan 1
  
  loopback-detection
#
interface gigabitEthernet 1/0/6
  switchport general allowed vlan 6 untagged
  switchport pvid 6
  no switchport general allowed vlan 1
  
  loopback-detection
#
interface gigabitEthernet 1/0/7
  
  loopback-detection
#
interface gigabitEthernet 1/0/8
  
  loopback-detection
#
interface gigabitEthernet 1/0/9
  switchport general allowed vlan 9 untagged
  switchport pvid 9
  no switchport general allowed vlan 1
  
  loopback-detection
#
interface gigabitEthernet 1/0/10
  switchport general allowed vlan 10 untagged
  switchport pvid 10
  no switchport general allowed vlan 1
  
  loopback-detection
#
interface gigabitEthernet 1/0/11
  switchport general allowed vlan 2-6,9-10 untagged
  
  loopback-detection
#
interface gigabitEthernet 1/0/12
  
  loopback-detection
#
interface gigabitEthernet 1/0/13
  
  loopback-detection
#
interface gigabitEthernet 1/0/14
  
  loopback-detection
#
interface gigabitEthernet 1/0/15
  
  loopback-detection
#
interface gigabitEthernet 1/0/16
  
  loopback-detection
#
interface gigabitEthernet 1/0/17
  
  loopback-detection
#
interface gigabitEthernet 1/0/18
  
  loopback-detection
#
interface gigabitEthernet 1/0/19
  
  loopback-detection
#
interface gigabitEthernet 1/0/20
  
  loopback-detection
#
interface gigabitEthernet 1/0/21
  
  loopback-detection
#
interface gigabitEthernet 1/0/22
  
  loopback-detection
#
interface gigabitEthernet 1/0/23
  
  loopback-detection
#
interface gigabitEthernet 1/0/24
  switchport general allowed vlan 1-6,9-10 tagged
  switchport acceptable frame tagged
  
  loopback-detection
#
interface gigabitEthernet 1/0/25
  
  loopback-detection
#
interface gigabitEthernet 1/0/26
  
  loopback-detection
#
interface gigabitEthernet 1/0/27
  
  loopback-detection
#
interface gigabitEthernet 1/0/28
  
  loopback-detection
#
end
 
Не могли бы вы уточнить, менялись ли у вас номера портов по умолчанию для доступа к http/https (80/443) и другим протоколам доступа?

Ответить

Вернуться в «T1600G-28TS (TL-SG2424)»