Проблема с Access Control

[h13.Bishop]

Доброго дня, подскажите, пожалуйста, такой вопрос.
Хочу ограничить доступ к коммутатору всех устройств кроме одного.
При настройке Access Control на T1600G-28TS (2 и 3 версии) через web-интерфейс, указываю IP адрес, 32 маску и в меню Access Interface выбираю доступ через HTTP и HTTPS.
После этого у указанного IP доступ по HTTP и HTTPS пропадает, но остается по telnet, ssh, snmp, ping. Также остальные устройства в сети продолжают сохранять полный доступ к коммутатору.
При настройке через cli происходит тоже самое.
Вместо сохранения доступа у указанного IP и блокировки остальных все происходит наоборот.

Где я допускаю ошибку?

[Victor_93]

Приветствую,
Какая у вас прошивка установлена на коммутаторе?
По идее, все верно, в Access Control вы задаете ip/mac/port которым разрешается доступ к коммутатору по выбранному интерфейсу, но все остальные доступа в этот момент к нему иметь не должны.

[h13.Bishop]

Приветствую,
Какая у вас прошивка установлена на коммутаторе?
По идее, все верно, в Access Control вы задаете ip/mac/port которым разрешается доступ к коммутатору по выбранному интерфейсу, но все остальные доступа в этот момент к нему иметь не должны.

Изначально пробовал на прошивке 3.0.0 Build 20180130 Rel.33015(s), а вчера купил еще пару новых свичей, поднял до 3.0.5 Build 20200109 Rel.39834(s)
и там вообще ноль реакции на любые настройки. Указывал разные протоколы, IP, маски, доступ не пропадает вообще.

[reaper]

Сделайте скриншоты настроек, сохраните файл конфига. Выложите куда- нибудь типа яндекс диска это все архивом. Опишите здесь топологию сети и что хотели этими правилами блокировать, укажите ссылку на яндекс диск
То, как настраивается ACL можете также посмотреть здесь: https://www.tp-link.com/us/configuratio ... tAnchor002

[h13.Bishop]

Сделайте скриншоты настроек, сохраните файл конфига. Выложите куда- нибудь типа яндекс диска это все архивом. Опишите здесь топологию сети и что хотели этими правилами блокировать, укажите ссылку на яндекс диск
То, как настраивается ACL можете также посмотреть здесь: https://www.tp-link.com/us/configuratio ... tAnchor002

Топология сети - это комп с ip 192.168.0.254/16, который воткнут в этот свич.
Я настраиваю не ACL, а просто Access Control для ограничения доступа к управлению коммутатором.
Скриншот сделать не могу, т.к. при применении настроек пропадает доступ веб-интерфейсу коммутатора.

Код: Выделить всё

user access-control ip-based enable
user access-control ip-based 192.168.0.254 255.255.255.255 http https

Этим правилом я разрешаю доступ к http только для 192.168.0.254, так как написано в мануале и предполагается здравым смыслом, и устройствами других вендоров. Вместо этого доступ по http для этого ip пропадает, но остается по другим протоколам и от других ip.

Код: Выделить всё

!T1600G-28TS
#
vlan 2
 name "Corp"
#
vlan 3
 name "WiFi"
#
vlan 4
 name "VoIP"
#
vlan 5
 name "Surv"
#
vlan 6
 name "PACS"
#
vlan 9
 name "WiFi-Guest"
#
vlan 10
 name "Management"
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
hostname "sw_test"
location "19_office"
#
logging host index 1 192.168.0.254 6
#
system-time ntp UTC+02:00 82.193.104.168 79.142.192.130 12
system-time dst predefined Europe
#
#
#
user name admin privilege admin secret 5 $1$F235462646F0@4L7E=E445;B2H1D5B=F756M;C6H75747K0E7,$)-|
no service reset-disable
#
#
#
#
#
#
#
#
#
#
user access-control ip-based enable
user access-control ip-based 192.168.0.254 255.255.255.255 http https
ip http session timeout 30
#
ip route 0.0.0.0 0.0.0.0 192.168.0.1
#
#

#
#
loopback-detection
#
#
#
#
#
interface vlan 1
  ip address 192.168.11.12 255.255.0.0
  ipv6 enable
#
interface gigabitEthernet 1/0/1
  
  loopback-detection
#
interface gigabitEthernet 1/0/2
  switchport general allowed vlan 2 untagged
  switchport pvid 2
  no switchport general allowed vlan 1
  
  loopback-detection
#
interface gigabitEthernet 1/0/3
  switchport general allowed vlan 3 untagged
  switchport pvid 3
  no switchport general allowed vlan 1
  
  loopback-detection
#
interface gigabitEthernet 1/0/4
  switchport general allowed vlan 4 untagged
  switchport pvid 4
  no switchport general allowed vlan 1
  
  loopback-detection
#
interface gigabitEthernet 1/0/5
  switchport general allowed vlan 5 untagged
  switchport pvid 5
  no switchport general allowed vlan 1
  
  loopback-detection
#
interface gigabitEthernet 1/0/6
  switchport general allowed vlan 6 untagged
  switchport pvid 6
  no switchport general allowed vlan 1
  
  loopback-detection
#
interface gigabitEthernet 1/0/7
  
  loopback-detection
#
interface gigabitEthernet 1/0/8
  
  loopback-detection
#
interface gigabitEthernet 1/0/9
  switchport general allowed vlan 9 untagged
  switchport pvid 9
  no switchport general allowed vlan 1
  
  loopback-detection
#
interface gigabitEthernet 1/0/10
  switchport general allowed vlan 10 untagged
  switchport pvid 10
  no switchport general allowed vlan 1
  
  loopback-detection
#
interface gigabitEthernet 1/0/11
  switchport general allowed vlan 2-6,9-10 untagged
  
  loopback-detection
#
interface gigabitEthernet 1/0/12
  
  loopback-detection
#
interface gigabitEthernet 1/0/13
  
  loopback-detection
#
interface gigabitEthernet 1/0/14
  
  loopback-detection
#
interface gigabitEthernet 1/0/15
  
  loopback-detection
#
interface gigabitEthernet 1/0/16
  
  loopback-detection
#
interface gigabitEthernet 1/0/17
  
  loopback-detection
#
interface gigabitEthernet 1/0/18
  
  loopback-detection
#
interface gigabitEthernet 1/0/19
  
  loopback-detection
#
interface gigabitEthernet 1/0/20
  
  loopback-detection
#
interface gigabitEthernet 1/0/21
  
  loopback-detection
#
interface gigabitEthernet 1/0/22
  
  loopback-detection
#
interface gigabitEthernet 1/0/23
  
  loopback-detection
#
interface gigabitEthernet 1/0/24
  switchport general allowed vlan 1-6,9-10 tagged
  switchport acceptable frame tagged
  
  loopback-detection
#
interface gigabitEthernet 1/0/25
  
  loopback-detection
#
interface gigabitEthernet 1/0/26
  
  loopback-detection
#
interface gigabitEthernet 1/0/27
  
  loopback-detection
#
interface gigabitEthernet 1/0/28
  
  loopback-detection
#
end
 

[reaper]

Нам нужно некоторое время для уточнения информации по данному вопросу, сообщим здесь о результатах

[Victor_93]

Сделайте скриншоты настроек, сохраните файл конфига. Выложите куда- нибудь типа яндекс диска это все архивом. Опишите здесь топологию сети и что хотели этими правилами блокировать, укажите ссылку на яндекс диск
То, как настраивается ACL можете также посмотреть здесь: https://www.tp-link.com/us/configuratio ... tAnchor002

Топология сети - это комп с ip 192.168.0.254/16, который воткнут в этот свич.
Я настраиваю не ACL, а просто Access Control для ограничения доступа к управлению коммутатором.
Скриншот сделать не могу, т.к. при применении настроек пропадает доступ веб-интерфейсу коммутатора.

Код: Выделить всё

user access-control ip-based enable
user access-control ip-based 192.168.0.254 255.255.255.255 http https

Этим правилом я разрешаю доступ к http только для 192.168.0.254, так как написано в мануале и предполагается здравым смыслом, и устройствами других вендоров. Вместо этого доступ по http для этого ip пропадает, но остается по другим протоколам и от других ip.

Код: Выделить всё

!T1600G-28TS
#
vlan 2
 name "Corp"
#
vlan 3
 name "WiFi"
#
vlan 4
 name "VoIP"
#
vlan 5
 name "Surv"
#
vlan 6
 name "PACS"
#
vlan 9
 name "WiFi-Guest"
#
vlan 10
 name "Management"
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
#
hostname "sw_test"
location "19_office"
#
logging host index 1 192.168.0.254 6
#
system-time ntp UTC+02:00 82.193.104.168 79.142.192.130 12
system-time dst predefined Europe
#
#
#
user name admin privilege admin secret 5 $1$F6F0@4L7E=E;B2H1D5B=F6M;C6H7K0E7,$)-|
no service reset-disable
#
#
#
#
#
#
#
#
#
snmp-server
snmp-server group "main" smode v3 slev authNoPriv read "viewDefault"
snmp-server user "admin_sw_snmp" local "main" smode v3 slev authNoPriv cmode MD5 cpwd "2d99a82783f31ac04ef71ae1185572d1e2d81e4f6498ed72b605bcfe2f97889a" emode none
#
user access-control ip-based enable
user access-control ip-based 192.168.0.254 255.255.255.255 http https
ip http session timeout 30
#
ip route 0.0.0.0 0.0.0.0 192.168.0.1
#
#

#
#
loopback-detection
#
#
#
#
#
interface vlan 1
  ip address 192.168.11.12 255.255.0.0
  ipv6 enable
#
interface gigabitEthernet 1/0/1
  
  loopback-detection
#
interface gigabitEthernet 1/0/2
  switchport general allowed vlan 2 untagged
  switchport pvid 2
  no switchport general allowed vlan 1
  
  loopback-detection
#
interface gigabitEthernet 1/0/3
  switchport general allowed vlan 3 untagged
  switchport pvid 3
  no switchport general allowed vlan 1
  
  loopback-detection
#
interface gigabitEthernet 1/0/4
  switchport general allowed vlan 4 untagged
  switchport pvid 4
  no switchport general allowed vlan 1
  
  loopback-detection
#
interface gigabitEthernet 1/0/5
  switchport general allowed vlan 5 untagged
  switchport pvid 5
  no switchport general allowed vlan 1
  
  loopback-detection
#
interface gigabitEthernet 1/0/6
  switchport general allowed vlan 6 untagged
  switchport pvid 6
  no switchport general allowed vlan 1
  
  loopback-detection
#
interface gigabitEthernet 1/0/7
  
  loopback-detection
#
interface gigabitEthernet 1/0/8
  
  loopback-detection
#
interface gigabitEthernet 1/0/9
  switchport general allowed vlan 9 untagged
  switchport pvid 9
  no switchport general allowed vlan 1
  
  loopback-detection
#
interface gigabitEthernet 1/0/10
  switchport general allowed vlan 10 untagged
  switchport pvid 10
  no switchport general allowed vlan 1
  
  loopback-detection
#
interface gigabitEthernet 1/0/11
  switchport general allowed vlan 2-6,9-10 untagged
  
  loopback-detection
#
interface gigabitEthernet 1/0/12
  
  loopback-detection
#
interface gigabitEthernet 1/0/13
  
  loopback-detection
#
interface gigabitEthernet 1/0/14
  
  loopback-detection
#
interface gigabitEthernet 1/0/15
  
  loopback-detection
#
interface gigabitEthernet 1/0/16
  
  loopback-detection
#
interface gigabitEthernet 1/0/17
  
  loopback-detection
#
interface gigabitEthernet 1/0/18
  
  loopback-detection
#
interface gigabitEthernet 1/0/19
  
  loopback-detection
#
interface gigabitEthernet 1/0/20
  
  loopback-detection
#
interface gigabitEthernet 1/0/21
  
  loopback-detection
#
interface gigabitEthernet 1/0/22
  
  loopback-detection
#
interface gigabitEthernet 1/0/23
  
  loopback-detection
#
interface gigabitEthernet 1/0/24
  switchport general allowed vlan 1-6,9-10 tagged
  switchport acceptable frame tagged
  
  loopback-detection
#
interface gigabitEthernet 1/0/25
  
  loopback-detection
#
interface gigabitEthernet 1/0/26
  
  loopback-detection
#
interface gigabitEthernet 1/0/27
  
  loopback-detection
#
interface gigabitEthernet 1/0/28
  
  loopback-detection
#
end
 

Не могли бы вы уточнить, менялись ли у вас номера портов по умолчанию для доступа к http/https (80/443) и другим протоколам доступа?

[h13.Bishop]

Не могли бы вы уточнить, менялись ли у вас номера портов по умолчанию для доступа к http/https (80/443) и другим протоколам доступа?

Блин, по-умолчанию на форуме выключены уведомления на почту. Прошу прощения, забыл проверить ответы.
Нет, потрты не менял. Свич достал из коробки, попробовал на стоковой прошивке, прошил на новую, проверил на новой. Детальной настройки не проводилось.

[Victor_93]

Разработчики провели тест с указанной моделью и прошивкой в своей лаборатории и описанная вами ситуация наблюдается только в том случае, если порты по умолчанию к http и https - или другим протоколам - были изменены.
То есть, на данный момент, функционал Access Control (они оптимизируют его в будущем) работает только с дефолтными портами 80/443 (и т.д.), то есть, если вы сменили их, то ip адрес, которому вы изначально дали доступ к протоколам http/https (и т.д.) - не будет иметь доступа через эти протоколы к управлению коммутатором, но в тоже время - все другие адреса получат доступ к коммутатору по протоколам, на которых был изменен порт по умолчанию.
Поэтому, давайте еще раз проверим, были ли изменены порты по умолчанию для доступа к http/https.
Лучше, если вы сможете сделать сброс настроек свича и проверить на дефолтных настройках как отрабатывает данная функция. Повторюсь, описанная ситуация наблюдается только при изменении порта по молчанию для протокола.

[h13.Bishop]

Разработчики провели тест с указанной моделью и прошивкой в своей лаборатории и описанная вами ситуация наблюдается только в том случае, если порты по умолчанию к http и https - или другим протоколам - были изменены.
То есть, на данный момент, функционал Access Control (они оптимизируют его в будущем) работает только с дефолтными портами 80/443 (и т.д.), то есть, если вы сменили их, то ip адрес, которому вы изначально дали доступ к протоколам http/https (и т.д.) - не будет иметь доступа через эти протоколы к управлению коммутатором, но в тоже время - все другие адреса получат доступ к коммутатору по протоколам, на которых был изменен порт по умолчанию.
Поэтому, давайте еще раз проверим, были ли изменены порты по умолчанию для доступа к http/https.
Лучше, если вы сможете сделать сброс настроек свича и проверить на дефолтных настройках как отрабатывает данная функция. Повторюсь, описанная ситуация наблюдается только при изменении порта по молчанию для протокола.

Если сменить порт http, то в конфиге появляется строчка "ip http port ХХХХ". В приведенном мной конфиге, такая строчка отсутствует и, соответственно, порты используются по-умолчанию. А если бы я случайно сменил порт на другой, то я, наверное, это бы заметил.

Сейчас повторил конфигурацию.
Схема:
- коммутатор - 192.168.11.12/24
- пк 1 - 192.168.0.254/24
- пк 2 - 192.168.0.209/24
С обоих пк доступ есть по telnet и по http, порты стандартные, все работает, все ходит.

Пишу в консольку:
user access-control ip-based enable
user access-control ip-based 192.168.0.254 255.255.255.255 http https
Доступ к http\https должен остаться только у 0.254, доступ по другим протоколам и у других IP должен пропасть.

По факту. На пк 0.254 остается доступ ко всему, телнет работает. На пк 0.209 пропадает доступ по http\https, но работает телнет.

В общем, вот так. Cначала думал, что делаю что-то не так, но начинаю подозревать, что что-то не так делает свич при такой конфигрурации.
Может если оно все в одной подсети, то оно и работает правильно, но мне так не нужно.
Проблема есть на v2 железе и v3 c прошивками 3.0 и 3.0.5.

Еще раз конфиг без ненужного (vlan, snmp, int).

Код: Выделить всё

!T1600G-28TS
#
#
hostname "sw_test"
location "19_office"
#
logging host index 1 192.168.0.254 6
#
system-time ntp UTC+02:00 82.193.104.168 79.142.192.130 12
system-time dst predefined Europe
#
#
user name admin privilege admin secret 5 $1$F132316F0@4L7E=E;B2H1231D5B=F6M;C6ASDH7K0E7,$)-|
no service reset-disable
#
#
user access-control ip-based enable
user access-control ip-based 192.168.0.254 255.255.255.255 http https
ip http session timeout 30
#
ip route 0.0.0.0 0.0.0.0 192.168.11.1
#
#
#
loopback-detection
#
#
interface vlan 1
  ip address 192.168.11.12 255.255.255.0
  ipv6 enable
#
interface gigabitEthernet 1/0/1
  
  loopback-detection
#
interface gigabitEthernet 1/0/28
  
  loopback-detection
#
end