viernes, 15 de agosto de 2014

IP ACL en Avaya Switch ERS

Este SW me trajo muchos dolores de cabeza! En esta oportunidad lo que voy a comentar es como hacer  IP ACL para este dispositivo.

El primer problema que encontré es que es la limitación de cantidad de entradas para una política de ACL, y la segunda y más grande es que si instalamos una ACL IP luego tendremos dropeo ARP y por último la tercer limitación es que se debe aplicar la política a puertos específicos del SW.
Una de las ventajas es que el dispositivo implementa las ACL por hardware, con lo cual es súper rápido aunque hay que tener cuidado porque consume recursos de HW.


Entonces el workaround que encontré es hacer una ACL combinada de L2 y L3, es decir una ACL que en sus reglas permita el protocolo ARP EtherType 0x0806 y luego las entradas L3.

Documentación de Avaya:
http://198.152.212.23/css/P8/documents/100140053



Template:
------------------------------
! *** Recordar reemplazar la Net donde estoy parado por 172.26.115.0/24 ***
! *** Disable ARP Filter ***
qos traffic-profile classifier name ACL1 ethertype 0x806  eval-order 1 drop-out-action disable
! *** Drop ports tcp 22,23,3389 ***
qos traffic-profile classifier name ACL1 addr-type ipv4 dst-ip 10.201.2.0/24 protocol 6 dst-port-min 22 dst-port-max 23 drop-action enable block BlPorts eval-order 2 drop-out-action enable
qos traffic-profile classifier name ACL1 addr-type ipv4 dst-ip 10.201.2.0/24 protocol 6 dst-port-min 3389 dst-port-max 3389 drop-action enable block BlPorts eval-order 3 drop-out-action enable
! *** Drop relevant Networks ***
qos traffic-profile classifier name ACL1 addr-type ipv4 dst-ip 10.200.1.0/24 drop-action enable block BlNets eval-order 4 drop-out-action enable
qos traffic-profile classifier name ACL1 addr-type ipv4 dst-ip 10.201.2.0/24 drop-action enable block BlNets eval-order 5 drop-out-action enable
qos traffic-profile classifier name ACL1 addr-type ipv4 dst-ip 10.201.3.0/24 drop-action enable block BlNets eval-order 6 drop-out-action enable
qos traffic-profile classifier name ACL1 addr-type ipv4 dst-ip 10.201.4.0/24 drop-action enable block BlNets eval-order 7 drop-out-action enable
! *** 192.168.112.0/20: 191.168.112.1 - 191.168.127.254
qos traffic-profile classifier name ACL1 addr-type ipv4 dst-ip 192.168.112.0/20 drop-action enable block BlNets eval-order 8 drop-out-action enable
! *** Permit any other other match ***
qos traffic-profile classifier name ACL1 eval-order 9 drop-out-action disable
! *** Apply ACL1 on specific ports ***
qos traffic-profile set port X name ACL1
------------------------------


Salu2!

Publicado por en
Etiquetas: ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)