Дорогие пользователи! У нас появился новый форум на платформе tp-link.community (Сообщество)
Форум доступен по ссылке https://community.tp-link.com/ru
Если при регистрации в Сообществе Вы укажете адрес электронный почты, который используете на данном форуме, то Ваши данные будут перенесены на форум Сообщества автоматически.
Также, если на форуме Сообщества Ваш никнейм будет занят, то Вам предложат сменить его или оставить, но с приставкой "_RU".
Подробнее Вы можете прочитать тут: https://community.tp-link.com/ru/home/f ... pic/501542
Убедительная просьба не дублировать темы на старом/новом форуме.
Форум доступен по ссылке https://community.tp-link.com/ru
Если при регистрации в Сообществе Вы укажете адрес электронный почты, который используете на данном форуме, то Ваши данные будут перенесены на форум Сообщества автоматически.
Также, если на форуме Сообщества Ваш никнейм будет занят, то Вам предложат сменить его или оставить, но с приставкой "_RU".
Подробнее Вы можете прочитать тут: https://community.tp-link.com/ru/home/f ... pic/501542
Убедительная просьба не дублировать темы на старом/новом форуме.
Проблема с Access Control
Правила форума
Правила форума TP-LINK lll ЧАВО lll Первичная настройка WAN роутера lll Настройка под провайдеров lll Официальные прошивки и драйверы lll
Правила форума TP-LINK lll ЧАВО lll Первичная настройка WAN роутера lll Настройка под провайдеров lll Официальные прошивки и драйверы lll
-
- Сообщения: 5
- Зарегистрирован: 23 июл 2020, 20:46
- Страна: Украина
Проблема с Access Control
Доброго дня, подскажите, пожалуйста, такой вопрос.
Хочу ограничить доступ к коммутатору всех устройств кроме одного.
При настройке Access Control на T1600G-28TS (2 и 3 версии) через web-интерфейс, указываю IP адрес, 32 маску и в меню Access Interface выбираю доступ через HTTP и HTTPS.
После этого у указанного IP доступ по HTTP и HTTPS пропадает, но остается по telnet, ssh, snmp, ping. Также остальные устройства в сети продолжают сохранять полный доступ к коммутатору.
При настройке через cli происходит тоже самое.
Вместо сохранения доступа у указанного IP и блокировки остальных все происходит наоборот.
Где я допускаю ошибку?
Хочу ограничить доступ к коммутатору всех устройств кроме одного.
При настройке Access Control на T1600G-28TS (2 и 3 версии) через web-интерфейс, указываю IP адрес, 32 маску и в меню Access Interface выбираю доступ через HTTP и HTTPS.
После этого у указанного IP доступ по HTTP и HTTPS пропадает, но остается по telnet, ssh, snmp, ping. Также остальные устройства в сети продолжают сохранять полный доступ к коммутатору.
При настройке через cli происходит тоже самое.
Вместо сохранения доступа у указанного IP и блокировки остальных все происходит наоборот.
Где я допускаю ошибку?
Re: Проблема с Access Control
Приветствую,
Какая у вас прошивка установлена на коммутаторе?
По идее, все верно, в Access Control вы задаете ip/mac/port которым разрешается доступ к коммутатору по выбранному интерфейсу, но все остальные доступа в этот момент к нему иметь не должны.
Какая у вас прошивка установлена на коммутаторе?
По идее, все верно, в Access Control вы задаете ip/mac/port которым разрешается доступ к коммутатору по выбранному интерфейсу, но все остальные доступа в этот момент к нему иметь не должны.
-
- Сообщения: 5
- Зарегистрирован: 23 июл 2020, 20:46
- Страна: Украина
Re: Проблема с Access Control
Изначально пробовал на прошивке 3.0.0 Build 20180130 Rel.33015(s), а вчера купил еще пару новых свичей, поднял до 3.0.5 Build 20200109 Rel.39834(s)
и там вообще ноль реакции на любые настройки. Указывал разные протоколы, IP, маски, доступ не пропадает вообще.
Re: Проблема с Access Control
Сделайте скриншоты настроек, сохраните файл конфига. Выложите куда- нибудь типа яндекс диска это все архивом. Опишите здесь топологию сети и что хотели этими правилами блокировать, укажите ссылку на яндекс диск
То, как настраивается ACL можете также посмотреть здесь: https://www.tp-link.com/us/configuratio ... tAnchor002
То, как настраивается ACL можете также посмотреть здесь: https://www.tp-link.com/us/configuratio ... tAnchor002
-
- Сообщения: 5
- Зарегистрирован: 23 июл 2020, 20:46
- Страна: Украина
Re: Проблема с Access Control
Топология сети - это комп с ip 192.168.0.254/16, который воткнут в этот свич.reaper писал(а): ↑30 июл 2020, 17:48Сделайте скриншоты настроек, сохраните файл конфига. Выложите куда- нибудь типа яндекс диска это все архивом. Опишите здесь топологию сети и что хотели этими правилами блокировать, укажите ссылку на яндекс диск
То, как настраивается ACL можете также посмотреть здесь: https://www.tp-link.com/us/configuratio ... tAnchor002
Я настраиваю не ACL, а просто Access Control для ограничения доступа к управлению коммутатором.
Скриншот сделать не могу, т.к. при применении настроек пропадает доступ веб-интерфейсу коммутатора.
Код: Выделить всё
user access-control ip-based enable
user access-control ip-based 192.168.0.254 255.255.255.255 http https
Код: Выделить всё
!T1600G-28TS
#
vlan 2
name "Corp"
#
vlan 3
name "WiFi"
#
vlan 4
name "VoIP"
#
vlan 5
name "Surv"
#
vlan 6
name "PACS"
#
vlan 9
name "WiFi-Guest"
#
vlan 10
name "Management"
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
hostname "sw_test"
location "19_office"
#
logging host index 1 192.168.0.254 6
#
system-time ntp UTC+02:00 82.193.104.168 79.142.192.130 12
system-time dst predefined Europe
#
#
#
user name admin privilege admin secret 5 $1$F235462646F0@4L7E=E445;B2H1D5B=F756M;C6H75747K0E7,$)-|
no service reset-disable
#
#
#
#
#
#
#
#
#
#
user access-control ip-based enable
user access-control ip-based 192.168.0.254 255.255.255.255 http https
ip http session timeout 30
#
ip route 0.0.0.0 0.0.0.0 192.168.0.1
#
#
#
#
loopback-detection
#
#
#
#
#
interface vlan 1
ip address 192.168.11.12 255.255.0.0
ipv6 enable
#
interface gigabitEthernet 1/0/1
loopback-detection
#
interface gigabitEthernet 1/0/2
switchport general allowed vlan 2 untagged
switchport pvid 2
no switchport general allowed vlan 1
loopback-detection
#
interface gigabitEthernet 1/0/3
switchport general allowed vlan 3 untagged
switchport pvid 3
no switchport general allowed vlan 1
loopback-detection
#
interface gigabitEthernet 1/0/4
switchport general allowed vlan 4 untagged
switchport pvid 4
no switchport general allowed vlan 1
loopback-detection
#
interface gigabitEthernet 1/0/5
switchport general allowed vlan 5 untagged
switchport pvid 5
no switchport general allowed vlan 1
loopback-detection
#
interface gigabitEthernet 1/0/6
switchport general allowed vlan 6 untagged
switchport pvid 6
no switchport general allowed vlan 1
loopback-detection
#
interface gigabitEthernet 1/0/7
loopback-detection
#
interface gigabitEthernet 1/0/8
loopback-detection
#
interface gigabitEthernet 1/0/9
switchport general allowed vlan 9 untagged
switchport pvid 9
no switchport general allowed vlan 1
loopback-detection
#
interface gigabitEthernet 1/0/10
switchport general allowed vlan 10 untagged
switchport pvid 10
no switchport general allowed vlan 1
loopback-detection
#
interface gigabitEthernet 1/0/11
switchport general allowed vlan 2-6,9-10 untagged
loopback-detection
#
interface gigabitEthernet 1/0/12
loopback-detection
#
interface gigabitEthernet 1/0/13
loopback-detection
#
interface gigabitEthernet 1/0/14
loopback-detection
#
interface gigabitEthernet 1/0/15
loopback-detection
#
interface gigabitEthernet 1/0/16
loopback-detection
#
interface gigabitEthernet 1/0/17
loopback-detection
#
interface gigabitEthernet 1/0/18
loopback-detection
#
interface gigabitEthernet 1/0/19
loopback-detection
#
interface gigabitEthernet 1/0/20
loopback-detection
#
interface gigabitEthernet 1/0/21
loopback-detection
#
interface gigabitEthernet 1/0/22
loopback-detection
#
interface gigabitEthernet 1/0/23
loopback-detection
#
interface gigabitEthernet 1/0/24
switchport general allowed vlan 1-6,9-10 tagged
switchport acceptable frame tagged
loopback-detection
#
interface gigabitEthernet 1/0/25
loopback-detection
#
interface gigabitEthernet 1/0/26
loopback-detection
#
interface gigabitEthernet 1/0/27
loopback-detection
#
interface gigabitEthernet 1/0/28
loopback-detection
#
end
Последний раз редактировалось h13.Bishop 20 авг 2020, 15:34, всего редактировалось 1 раз.
Re: Проблема с Access Control
Нам нужно некоторое время для уточнения информации по данному вопросу, сообщим здесь о результатах
Re: Проблема с Access Control
Не могли бы вы уточнить, менялись ли у вас номера портов по умолчанию для доступа к http/https (80/443) и другим протоколам доступа?h13.Bishop писал(а): ↑31 июл 2020, 17:06Топология сети - это комп с ip 192.168.0.254/16, который воткнут в этот свич.reaper писал(а): ↑30 июл 2020, 17:48Сделайте скриншоты настроек, сохраните файл конфига. Выложите куда- нибудь типа яндекс диска это все архивом. Опишите здесь топологию сети и что хотели этими правилами блокировать, укажите ссылку на яндекс диск
То, как настраивается ACL можете также посмотреть здесь: https://www.tp-link.com/us/configuratio ... tAnchor002
Я настраиваю не ACL, а просто Access Control для ограничения доступа к управлению коммутатором.
Скриншот сделать не могу, т.к. при применении настроек пропадает доступ веб-интерфейсу коммутатора.
Этим правилом я разрешаю доступ к http только для 192.168.0.254, так как написано в мануале и предполагается здравым смыслом, и устройствами других вендоров. Вместо этого доступ по http для этого ip пропадает, но остается по другим протоколам и от других ip.Код: Выделить всё
user access-control ip-based enable user access-control ip-based 192.168.0.254 255.255.255.255 http https
Код: Выделить всё
!T1600G-28TS # vlan 2 name "Corp" # vlan 3 name "WiFi" # vlan 4 name "VoIP" # vlan 5 name "Surv" # vlan 6 name "PACS" # vlan 9 name "WiFi-Guest" # vlan 10 name "Management" # # # # # # # # # # # # # # # # # # # # hostname "sw_test" location "19_office" # logging host index 1 192.168.0.254 6 # system-time ntp UTC+02:00 82.193.104.168 79.142.192.130 12 system-time dst predefined Europe # # # user name admin privilege admin secret 5 $1$F6F0@4L7E=E;B2H1D5B=F6M;C6H7K0E7,$)-| no service reset-disable # # # # # # # # # snmp-server snmp-server group "main" smode v3 slev authNoPriv read "viewDefault" snmp-server user "admin_sw_snmp" local "main" smode v3 slev authNoPriv cmode MD5 cpwd "2d99a82783f31ac04ef71ae1185572d1e2d81e4f6498ed72b605bcfe2f97889a" emode none # user access-control ip-based enable user access-control ip-based 192.168.0.254 255.255.255.255 http https ip http session timeout 30 # ip route 0.0.0.0 0.0.0.0 192.168.0.1 # # # # loopback-detection # # # # # interface vlan 1 ip address 192.168.11.12 255.255.0.0 ipv6 enable # interface gigabitEthernet 1/0/1 loopback-detection # interface gigabitEthernet 1/0/2 switchport general allowed vlan 2 untagged switchport pvid 2 no switchport general allowed vlan 1 loopback-detection # interface gigabitEthernet 1/0/3 switchport general allowed vlan 3 untagged switchport pvid 3 no switchport general allowed vlan 1 loopback-detection # interface gigabitEthernet 1/0/4 switchport general allowed vlan 4 untagged switchport pvid 4 no switchport general allowed vlan 1 loopback-detection # interface gigabitEthernet 1/0/5 switchport general allowed vlan 5 untagged switchport pvid 5 no switchport general allowed vlan 1 loopback-detection # interface gigabitEthernet 1/0/6 switchport general allowed vlan 6 untagged switchport pvid 6 no switchport general allowed vlan 1 loopback-detection # interface gigabitEthernet 1/0/7 loopback-detection # interface gigabitEthernet 1/0/8 loopback-detection # interface gigabitEthernet 1/0/9 switchport general allowed vlan 9 untagged switchport pvid 9 no switchport general allowed vlan 1 loopback-detection # interface gigabitEthernet 1/0/10 switchport general allowed vlan 10 untagged switchport pvid 10 no switchport general allowed vlan 1 loopback-detection # interface gigabitEthernet 1/0/11 switchport general allowed vlan 2-6,9-10 untagged loopback-detection # interface gigabitEthernet 1/0/12 loopback-detection # interface gigabitEthernet 1/0/13 loopback-detection # interface gigabitEthernet 1/0/14 loopback-detection # interface gigabitEthernet 1/0/15 loopback-detection # interface gigabitEthernet 1/0/16 loopback-detection # interface gigabitEthernet 1/0/17 loopback-detection # interface gigabitEthernet 1/0/18 loopback-detection # interface gigabitEthernet 1/0/19 loopback-detection # interface gigabitEthernet 1/0/20 loopback-detection # interface gigabitEthernet 1/0/21 loopback-detection # interface gigabitEthernet 1/0/22 loopback-detection # interface gigabitEthernet 1/0/23 loopback-detection # interface gigabitEthernet 1/0/24 switchport general allowed vlan 1-6,9-10 tagged switchport acceptable frame tagged loopback-detection # interface gigabitEthernet 1/0/25 loopback-detection # interface gigabitEthernet 1/0/26 loopback-detection # interface gigabitEthernet 1/0/27 loopback-detection # interface gigabitEthernet 1/0/28 loopback-detection # end
-
- Сообщения: 5
- Зарегистрирован: 23 июл 2020, 20:46
- Страна: Украина
Re: Проблема с Access Control
Блин, по-умолчанию на форуме выключены уведомления на почту. Прошу прощения, забыл проверить ответы.
Нет, потрты не менял. Свич достал из коробки, попробовал на стоковой прошивке, прошил на новую, проверил на новой. Детальной настройки не проводилось.
Re: Проблема с Access Control
Разработчики провели тест с указанной моделью и прошивкой в своей лаборатории и описанная вами ситуация наблюдается только в том случае, если порты по умолчанию к http и https - или другим протоколам - были изменены.
То есть, на данный момент, функционал Access Control (они оптимизируют его в будущем) работает только с дефолтными портами 80/443 (и т.д.), то есть, если вы сменили их, то ip адрес, которому вы изначально дали доступ к протоколам http/https (и т.д.) - не будет иметь доступа через эти протоколы к управлению коммутатором, но в тоже время - все другие адреса получат доступ к коммутатору по протоколам, на которых был изменен порт по умолчанию.
Поэтому, давайте еще раз проверим, были ли изменены порты по умолчанию для доступа к http/https.
Лучше, если вы сможете сделать сброс настроек свича и проверить на дефолтных настройках как отрабатывает данная функция. Повторюсь, описанная ситуация наблюдается только при изменении порта по молчанию для протокола.
То есть, на данный момент, функционал Access Control (они оптимизируют его в будущем) работает только с дефолтными портами 80/443 (и т.д.), то есть, если вы сменили их, то ip адрес, которому вы изначально дали доступ к протоколам http/https (и т.д.) - не будет иметь доступа через эти протоколы к управлению коммутатором, но в тоже время - все другие адреса получат доступ к коммутатору по протоколам, на которых был изменен порт по умолчанию.
Поэтому, давайте еще раз проверим, были ли изменены порты по умолчанию для доступа к http/https.
Лучше, если вы сможете сделать сброс настроек свича и проверить на дефолтных настройках как отрабатывает данная функция. Повторюсь, описанная ситуация наблюдается только при изменении порта по молчанию для протокола.
-
- Сообщения: 5
- Зарегистрирован: 23 июл 2020, 20:46
- Страна: Украина
Re: Проблема с Access Control
Если сменить порт http, то в конфиге появляется строчка "ip http port ХХХХ". В приведенном мной конфиге, такая строчка отсутствует и, соответственно, порты используются по-умолчанию. А если бы я случайно сменил порт на другой, то я, наверное, это бы заметил.Victor_93 писал(а): ↑20 авг 2020, 10:41Разработчики провели тест с указанной моделью и прошивкой в своей лаборатории и описанная вами ситуация наблюдается только в том случае, если порты по умолчанию к http и https - или другим протоколам - были изменены.
То есть, на данный момент, функционал Access Control (они оптимизируют его в будущем) работает только с дефолтными портами 80/443 (и т.д.), то есть, если вы сменили их, то ip адрес, которому вы изначально дали доступ к протоколам http/https (и т.д.) - не будет иметь доступа через эти протоколы к управлению коммутатором, но в тоже время - все другие адреса получат доступ к коммутатору по протоколам, на которых был изменен порт по умолчанию.
Поэтому, давайте еще раз проверим, были ли изменены порты по умолчанию для доступа к http/https.
Лучше, если вы сможете сделать сброс настроек свича и проверить на дефолтных настройках как отрабатывает данная функция. Повторюсь, описанная ситуация наблюдается только при изменении порта по молчанию для протокола.
Сейчас повторил конфигурацию.
Схема:
- коммутатор - 192.168.11.12/24
- пк 1 - 192.168.0.254/24
- пк 2 - 192.168.0.209/24
С обоих пк доступ есть по telnet и по http, порты стандартные, все работает, все ходит.
Пишу в консольку:
user access-control ip-based enable
user access-control ip-based 192.168.0.254 255.255.255.255 http https
Доступ к http\https должен остаться только у 0.254, доступ по другим протоколам и у других IP должен пропасть.
По факту. На пк 0.254 остается доступ ко всему, телнет работает. На пк 0.209 пропадает доступ по http\https, но работает телнет.
В общем, вот так. Cначала думал, что делаю что-то не так, но начинаю подозревать, что что-то не так делает свич при такой конфигрурации.
Может если оно все в одной подсети, то оно и работает правильно, но мне так не нужно.
Проблема есть на v2 железе и v3 c прошивками 3.0 и 3.0.5.
Еще раз конфиг без ненужного (vlan, snmp, int).
Код: Выделить всё
!T1600G-28TS
#
#
hostname "sw_test"
location "19_office"
#
logging host index 1 192.168.0.254 6
#
system-time ntp UTC+02:00 82.193.104.168 79.142.192.130 12
system-time dst predefined Europe
#
#
user name admin privilege admin secret 5 $1$F132316F0@4L7E=E;B2H1231D5B=F6M;C6ASDH7K0E7,$)-|
no service reset-disable
#
#
user access-control ip-based enable
user access-control ip-based 192.168.0.254 255.255.255.255 http https
ip http session timeout 30
#
ip route 0.0.0.0 0.0.0.0 192.168.11.1
#
#
#
loopback-detection
#
#
interface vlan 1
ip address 192.168.11.12 255.255.255.0
ipv6 enable
#
interface gigabitEthernet 1/0/1
loopback-detection
#
interface gigabitEthernet 1/0/28
loopback-detection
#
end