Имеется DES3526
задача: отфильтровать проходящий через коммутатор траффик таким образом, чтобы с клиентского порта невозможно было отправить PADO пакет. Логичное решение - воспользоваться примером из FAQ либо, чтобы не привязываться к мак адресу BRAS воспользоваться советами гуру написав content filter.
## Create drop rule for PPPoE PADO packet from ports 1-24
create access_profile packet_content_mask offset_16-31 0xffffffff 0x0 0x0 0x0 profile_id 1
config access_profile profile_id 1 add access_id 50 packet_content_mask offset_16-31 0x88631107 0x0 0x0 0x0 port 1-24 deny

## Permit All PPPoE Packets
create access_profile ethernet ethernet_type profile_id 2
config access_profile profile_id 2 add access_id 100 ethernet ethernet_type 0x8863 port 1-24 permit
config access_profile profile_id 2 add access_id 150 ethernet ethernet_type 0x8864 port 1-24 permit

все идет хорошо, если за клиентским портом ставим нечто отвечающее на PADI, оно там и остается..
Усложняем задачу:
config pppoe circuit_id_insertion state enable
config pppoe circuit_id_insertion ports 1-24 state enable circuit_id udf TEST
config pppoe circuit_id_insertion ports 25-26 state disable

результат - circuit-id в пакете нет.
смотрим access-profile, и видим, что circuit_id_insertion добавил еще один фильтр с третьим ID. Естественно предположить, что пакеты прошедшие через 2 правило, и принятые в нем, далее могут и не обрабатываться. Хорошо, меняем местами, 1 и 2 правило делаем 2 и 3, соответственно при включении опции circuit_id_insertion она ставит свое правило первым. - проверяем, тег появился, НО, перестал работать фильтр. То есть PADO пакеты пропускаются теперь СО ВСЕХ портов.

Идем к FAQ, там пример конечно более грубый, поскольку включает привязку к mac адресу BRAS.
## MAC oriented access_profile
# Permit PPPoE Discovery and PPPoE Data from Server to Client.
create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF ethernet_type profile 1
config access_profile profile_id 1 add access_id 100 ethernet source_mac 00-04-4E-25-7C-1B ethernet_type 0x8863 port 25-26 permit
config access_profile profile_id 1 add access_id 102 ethernet source_mac 00-04-4E-25-7C-1B ethernet_type 0x8864 port 25-26 permit
config access_profile profile_id 1 add access_id 104 ethernet source_mac 00-13-80-47-F1-1B ethernet_type 0x8863 port 25-26 permit
config access_profile profile_id 1 add access_id 106 ethernet source_mac 00-13-80-47-F1-1B ethernet_type 0x8864 port 25-26 permit


# Permit PPPoE Discovery and PPPoE Data from client to Server
create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type profile 2
config access_profile profile_id 2 add access_id 150 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x8863 port 1-26 permit
config access_profile profile_id 2 add access_id 200 ethernet destination_mac 00-04-4E-25-7C-1B ethernet_type 0x8863 port 1-26 permit
config access_profile profile_id 2 add access_id 250 ethernet destination_mac 00-04-4E-25-7C-1B ethernet_type 0x8864 port 1-26 permit
config access_profile profile_id 2 add access_id 300 ethernet destination_mac 00-13-80-47-F1-1B ethernet_type 0x8863 port 1-26 permit
config access_profile profile_id 2 add access_id 350 ethernet destination_mac 00-13-80-47-F1-1B ethernet_type 0x8864 port 1-26 permit

# Deny all other PPPoE Packets
create access_profile ethernet ethernet_type profile 3
config access_profile profile_id 3 add access_id 400 ethernet ethernet_type 0x8863 port 1-26 deny
config access_profile profile_id 3 add access_id 450 ethernet ethernet_type 0x8864 port 1-26 deny

С выключенным circuit_id_insertion все как и обещали. НО!!!
после включения опции, PADO прекрасно проходят с клиентских портов, каким бы access_profile, владельцем которого является circuit_id_insertion, ни находился.

Замечено еще одно: traffic_segmentation не распространяется на ethernet type 0x8863 и 0x8864. В конфиге вида:

config traffic_segmentation 23 forward_list 25-26
config traffic_segmentation 24 forward_list 25-26
config traffic_segmentation 25 forward_list 1-26
config traffic_segmentation 26 forward_list 1-26

Если аплинк к BRAS переставляю в 24 порт, то он прекрасно видится с 23.

Firmware: Build 6.00.B26

Все эксперименты проводились без тегирования на нативном влане.

Функция PPPoE Insertion реагирует на PADI, т.е. запрос клиента, а блокируете Вы PADO, т.е. ответы от сервера, эти две функции не должны мешать друг другу.

_________________
С уважением,
Бигаров Руслан.

Но факт остается фактом, в указанной прошивке фильтры, отслеживающие ethertype 0х8863 и 0х8864, перестают работать как только я включаю функцию insertion.

в sh access_profile :
Access Profile ID : 2 Type : Packet Content
================================================================================
Owner : PPPoE_Circuit_ID_Insertion
Masks :

Offset 16-31 : 0xffff0000 00000000 00000000 00000000

Access ID: 1 Mode:
Owner : PPPoE_Circuit_ID_Insertion
Port : 1
----------------------------------------------------
Offset 16-31 : 0x88630000 00000000 00000000 00000000

Access ID: 2 Mode:
Owner : PPPoE_Circuit_ID_Insertion
Port : 2
----------------------------------------------------
Offset 16-31 : 0x88630000 00000000 00000000 00000000

Access ID: 3 Mode:
Owner : PPPoE_Circuit_ID_Insertion
Port : 3
----------------------------------------------------
Offset 16-31 : 0x88630000 00000000 00000000 00000000

И где здесь фильтр по типу пакета?

Вот отслеживание PADO:
Access Profile ID : 1 Type : Packet Content
================================================================================
Owner : ACL
Masks :

Offset 16-31 : 0xffffffff 00000000 00000000 00000000

Access ID: 50 Mode: Deny
Owner : ACL
Port : 1
----------------------------------------------------
Offset 16-31 : 0x88631107 00000000 00000000 00000000

Access ID: 51 Mode: Deny
Owner : ACL
Port : 2
----------------------------------------------------

Где видно какой тип пакета. А в овнере PPPoE_Circuit_ID_Insertion подгребается, насколько я могу судить, все.
А так как он применяется на IN и к тем-же портам что и правило обрезающее PADO, то можно предположить, что правило созданое PPPoE_Circuit_ID_Insertion просто срабатывает раньше, и пропускает пакет еще ДО того как он попадет в правило, которое просмотрит его тип. Попытка же поставить правило создаваемое PPPoE_Circuit_ID_Insertion ПОСЛЕ акля, не привела ни к чему. Такое впечатление, что в ACL пакеты ушедшие в PPPoE_Circuit_ID_Insertion более не попадают.

Мы проверим и напишем по результатам.

_________________
С уважением,
Бигаров Руслан.

Пришлите, пожалуйста, мне полный конфигурационный файл коммутатора на почту.

Выслал. Со всеми результатами наблюдений.

Я отписал в ШК по этому вопросу и сообщу Вам по результату.

Если используется PPPoE Circuit ID Insertion, то PPPoE пакетики (Ether type:0x8863) перенаправляются для обработки процессору, поэтому для того, чтобы правила для таких пакетиков сработали нужно использовать не обычные ACL, а CPU ACL.
Таким образом, если Вам нужно заблокировать PADO и при этом использовать PPPoE Circuit ID Insertion, то правила будут выглядеть следующим образом:

Благодарю за подсказку, но в этом случае будут заблокированы ВСЕ PADO, тогда как целью является блокирование только тех PADO, что могут идти с клиентских портов. Будем надеяться, что если на порту отключен Tag-Insertin, то пакеты вообще не будут попадать в CPU-ACL. Попробую - отпишусь.

Собственно продолжу свою же тему.

Попробовал - работает вот такой акль:

create cpu access_profile ethernet vlan source_mac AA-BB-CC-FF-00-00 ethernet_type profile_id 1
config cpu access_profile profile_id 1 add access_id 100 ethernet vlan AccessVLAN source_mac ff-ff-ff-ff-ff-ff ethernet_type 0x8863 port 26 permit

create cpu access_profile ethernet vlan destination_mac AA-BB-BB-BB-00-00 ethernet_type profile_id 2
config cpu access_profile profile_id 2 add access_id 100 ethernet vlan AccessVLAN destination_mac ff-ff-ff-ff-ff-ff ethernet_type 0x8863 port 1-25 permit

create cpu access_profile ethernet vlan ethernet_type profile_id 3
config cpu access_profile profile_id 3 add access_id 100 ethernet vlan AccessVLAN ethernet_type 0x8863 port 1-25 deny
enable cpu_interface_filtering

Вернее, работал. все это время. Только вот попался у меня сейчас DES-3550 , в котором у меня прописан такой вот акль, с поправкой на кол-во портов. Да вот только с него ухитряется -таки пролезать PADO со стороны клиента.
Причем такое впечатление, что фильтрация не работает совсем. Ибо даже полная блокировка ethernet_type 0x8863 - не помогает.
В коммутаторе включен safeguard_engine и вот такой фильтр:
config cpu_filter l3_control_pkt 1-48 rip ospf vrrp pim dvmrp igmp_query state enable
Могло это как-то повлиять на работу первого фильтра?

Device Type : DES-3550 Fast-Ethernet Switch
Combo Port Type : 1000Base-T + 1000Base-LX
..................
Boot PROM Version : Build 5.00.009
Firmware Version : Build 6.20.B20
Hardware Version : A4

Cо следующей конфигурацией коммутатора PADO-пакет успешно блокируется (в примере, приведенном выше, перепутаны маски и МАС):
config pppoe circuit_id_insertion state enable
config pppoe circuit_id_insertion ports 1-24 state enable circuit_id udf TEST
config pppoe circuit_id_insertion ports 25-26 state disable

create vlan AccessVLAN tag 500
config vlan default delete 20-26
config vlan AccessVLAN add untagged 20-26

create cpu access_profile ethernet vlan source_mac ff-ff-ff-ff-ff-ff ethernet_type profile_id 1
config cpu access_profile profile_id 1 add access_id 100 ethernet vlan AccessVLAN source_mac AA-BB-CC-FF-00-00 ethernet_type 0x8863 port 26 permit

create cpu access_profile ethernet vlan destination_mac ff-ff-ff-ff-ff-ff ethernet_type profile_id 2
config cpu access_profile profile_id 2 add access_id 100 ethernet vlan AccessVLAN destination_mac AA-BB-BB-BB-00-00 ethernet_type 0x8863 port 1-25 permit

create cpu access_profile ethernet vlan ethernet_type profile_id 3
config cpu access_profile profile_id 3 add access_id 100 ethernet vlan AccessVLAN ethernet_type 0x8863 port 1-25 deny
enable cpu_interface_filtering

config cpu_filter l3_control_pkt 1-48 rip ospf vrrp pim dvmrp igmp_query state enable

Также, рекомендуется сохранять настройки свитча после прописывания блокирующих правил.

Странно, но именно такой вариант у меня и не работал. Ни в какую.. Записи есть - сравню детали. попробую еще проэкспериментировать.
Мало того, немного непонятно, почему не работает вариант БЕЗ vlan. Просто выдергиваю из всей этой конструкции vlan(хотелось правило сделать более универсальным) и все. PADO пропускается.

Спасибо. Буду еще пробовать.

Без VLAN также блокируется. Спасибо, ждем окончательных результатов.

Доброго дня!
по вышеуказанной логике:

create cpu access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type profile_id 2
config cpu access_profile profile_id 2 add access_id 100 ethernet destination_mac 44-03-a7-c7-e9-00 ethernet_type 0x8863 port 1-48 permit
config cpu access_profile profile_id 2 add access_id 110 ethernet destination_mac 00-06-F6-D5-D1-00 ethernet_type 0x8863 port 1-48 permit
create cpu access_profile ethernet ethernet_type profile_id 4
config cpu access_profile profile_id 4 add access_id 100 ethernet ethernet_type 0x8863 port 1-48 deny
enable cpu_interface_filtering

(Опускаем строку, в которой нужно пропустить PADO к клиенту с 50 порта, поскольку нужно найти вариант при котором не будет пропущен PADO ОТ клиента.)
Тест, и PADO от ТРЕХ BRAS конкурента прекрасно проскакивают через этот фильтр(скажу так, клиент пытается усидеть на двух стульях и подключил в один хабосвич двух провайдеров).

удаляю, создаю вот такое:
create cpu access_profile ethernet vlan ethernet_type profile_id 4
config cpu access_profile profile_id 4 add access_id 100 ethernet vlan AccessVLAN ethernet_type 0x8863 port 1-48 deny
enable cpu_interface_filtering

Ничего не меняется.. Как пропускал PADO так и пропускает...

SERVICE MAC-ADDRESS AC-NAME
DC:38:E1:F6:D8:D4 STVR-BRAS1
sh fdb port 10
262 AccessVLAN DC-38-E1-F6-D8-D4 10 Dynamic
262 AccessVLAN DC-38-E1-F6-DB-68 10 Dynamic
262 AccessVLAN DC-38-E1-F6-E0-30 10 Dynamic
262 AccessVLAN DC-38-E1-F6-E2-C4 10 Dynamic

и, кстати, отключение
config cpu_filter l3_control_pkt 1-48 rip ospf vrrp pim dvmrp igmp_query state disable
Тоже до лампочки.

Если честно - я вообще перестал понимать, что происходит.

Хочу внести поправку... Коммутатор DES-3550. В 3526 самый первый приведенный мной фильтр работает.... Причем работает и сейчас. Проверил. А в 3550 - не работает ВООБЩЕ ничего..... Тупо все пропускается.

Пришлите, пожалуйста, конфигурационный файл коммутатора, с которым наблюдается проблема, и PADO-пакет с описанием Вашей проблемы на почту