faq обучение настройка
Текущее время: Чт июл 10, 2025 03:14

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 13 ] 
Автор Сообщение
СообщениеДобавлено: Пн авг 27, 2012 09:08 
Не в сети

Зарегистрирован: Пт мар 23, 2012 07:24
Сообщений: 106
до появления ревизии C1 строили сеть на ревизиях A1, B1. использовали следующие ацл:
Код:
create access_profile ip udp src_port_mask 0xFFFF profile_id 1
config access_profile profile_id 1 add access_id 1 ip udp src_port 68 port 1-24 permit
config access_profile profile_id 1 add access_id 2 ip udp src_port 67 port 1-24 deny
create access_profile ethernet ethernet_type  profile_id 2
config access_profile profile_id 2 add access_id 1 ethernet ethernet_type 0x8863 port 1-24 permit
config access_profile profile_id 2 add access_id 2 ethernet ethernet_type 0x8864 port 1-24 permit
config access_profile profile_id 2 add access_id 3 ethernet ethernet_type 0x0806 port 1-24 permit
create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF profile_id 3
config access_profile profile_id 3 add access_id 1 ethernet destination_mac FF-FF-FF-FF-FF-FF port 1-24 deny
create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF profile_id 4
config access_profile profile_id 4 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-24 deny

всё работало прекрасно, пока к нам не пришла ревизия C1, а именно коммутаторы модели DES-3200-52
немного модифицированные ацл перестали работать:
Код:
create access_profile profile_id 1 profile_name 1 ip udp src_port_mask 0xFFFF
config access_profile profile_id 1 add access_id 1 ip udp src_port 68 port 1-48 permit
config access_profile profile_id 2 add access_id 1 ip udp src_port 67 port 1-48 deny
create access_profile profile_id 2 profile_name 2 ethernet ethernet_type
config access_profile profile_id 2 add access_id 1 ethernet ethernet_type 0x8863 port 1-48 permit
config access_profile profile_id 2 add access_id 2 ethernet ethernet_type 0x8864 port 1-48 permit
config access_profile profile_id 2 add access_id 3 ethernet ethernet_type 0x0806 port 1-48 permit
create access_profile profile_id 3 profile_name 3 ethernet destination_mac FF-FF-FF-FF-FF-FF
config access_profile profile_id 3 add access_id 1 ethernet destination_mac FF-FF-FF-FF-FF-FF port 1-48 deny
create access_profile profile_id 4 profile_name 4 ethernet source_mac FF-FF-FF-FF-FF-FF
config access_profile profile_id 4 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-48 deny

коммутаторы перестали пропускать ethernet type 8863,8864,806, которые описаны в ацл профайле 2. (PPPoE и ARP)
однако, если совместить профайлы 2 и 3 в один, то всё начинает работать:
Код:
create access_profile profile_id 1 profile_name 1 ip udp src_port_mask 0xFFFF
config access_profile profile_id 1 add access_id 1 ip udp src_port 68 port 1-48 permit
config access_profile profile_id 1 add access_id 2 ip udp src_port 67 port 1-48 deny
create access_profile profile_id 2 profile_name 2 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type
config access_profile profile_id 2 add access_id 1 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x8863 port 1-48 permit
config access_profile profile_id 2 add access_id 2 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x8864 port 1-48 permit
config access_profile profile_id 2 add access_id 3 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x0806 port 1-48 permit
config access_profile profile_id 2 add access_id 4 ethernet destination_mac FF-FF-FF-FF-FF-FF port 1-48 deny
create access_profile profile_id 3 profile_name 3 ethernet source_mac FF-FF-FF-FF-FF-FF
config access_profile profile_id 3 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-48 deny

Собственно вопрос: это баг или фича?
P.S. отдельно фильтрация по ethernet type работает, если ставить действие deny, но permit такое ощущение что просто не работает


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн авг 27, 2012 13:13 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
В ревизии С1 поменяли логику работы acl, почитайте презентацию
Осенью поправят ситуацию с наивысшим приоритетом deny, будет отрабатывать в порядке access_id


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт авг 28, 2012 06:43 
Не в сети

Зарегистрирован: Пт мар 23, 2012 07:24
Сообщений: 106
опять всё переделали :)
ладно. разобрался, спасибо


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт авг 28, 2012 08:31 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Пожалуйста.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт авг 28, 2012 09:18 
Не в сети

Зарегистрирован: Пт мар 23, 2012 07:24
Сообщений: 106
вопрос ещё один:
Код:
create access_profile profile_id 1 profile_name 1 ip udp src_port_mask 0xFFFF
config access_profile profile_id 1 add access_id 1 ip udp src_port 68 port 1-48 permit

в этих строках теперь получается вообще смысла нет если после них режатся броадкасты?
тоесть разрешить прохождение dhcp броадкастов не разрешая вообще всех ip броадкастов нельзя получается?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн сен 03, 2012 08:12 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
founder
Рекомендую немного подождать - логику работы запрещающих правил поправят в середине сентября, они будут отрабатывать в порядке access_id


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт сен 25, 2012 12:59 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Поведение ACL изменено в FW 4.32
Описание обновленного CLI

1. Имя профиля теперь опционально.
2. Зарезервировано под системные нужды по 62 правил у профилей ID 1 Ethernet и ID 2 IP.
3. Для третьего и четвёртого профилей можно задать ID с 1 по 512, но общее кол-во профилей осталось 4-е.
4. Действие drop теперь не приоритетно. Приоритет теперь работает по ID профиля и ID правила, как на старых наших моделях.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср сен 26, 2012 20:35 
Не в сети

Зарегистрирован: Вт дек 01, 2009 09:02
Сообщений: 56
Хм... FW 4.32
Что то я не понял про 1ый и 2ой профайлы.
Почти все своё упихал в 3 и 4 ый, необходи ещё один ethernet.
Судя по "Use “create access_profile” to create the profile first if you would like to put the rules on Profile ID 1 or Profile ID 2."
Использовать 1ый можно, ок.

К примеру тест:
Пытаюсь в "Profile ID 1 is fixed as Ethernet Profile" засунуть вот это:

create access_profile profile_id 1 profile_name 1 ethernet vlan 0xFFF source_mac FF-FF-FF-FF-FF-FF destination_mac FF-FF-FF-FF-FF-FF ethernet_type
config access_profile profile_id 1 add access_id 1 ethernet vlan_id 100 ethernet_type 0x806 port 6 permit

и в profile_id 4 его же режу

create access_profile profile_id 4 profile_name 4 ethernet vlan 0xFFF source_mac FF-FF-FF-FF-FF-FF destination_mac FF-FF-FF-FF-FF-FF ethernet_type
config access_profile profile_id 4 add access_id 1 ethernet vlan_id 100 ethernet_type 0x806 port 6 deny

АРП блокируется 4ым профалом - ничего не работает.

Ок, делаем
Вот так:

create access_profile profile_id 3 profile_name 3 ethernet vlan 0xFFF source_mac FF-FF-FF-FF-FF-FF destination_mac FF-FF-FF-FF-FF-FF ethernet_type
config access_profile profile_id 3 add access_id 1 ethernet vlan_id 100 ethernet_type 0x806 port 6 permit
create access_profile profile_id 4 profile_name 4 ethernet vlan 0xFFF source_mac FF-FF-FF-FF-FF-FF destination_mac FF-FF-FF-FF-FF-FF ethernet_type
config access_profile profile_id 4 add access_id 1 ethernet vlan_id 100 ethernet_type 0x806 port 6 deny

Все работает. Как быть?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт сен 27, 2012 11:13 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Я уточню в ШК, с чем связано данное поведение.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн окт 01, 2012 09:41 
Не в сети

Зарегистрирован: Вт дек 01, 2009 09:02
Сообщений: 56
Есть ли какая нибудь информация?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн окт 01, 2012 10:44 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Пока что нет.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн окт 08, 2012 08:09 
Не в сети

Зарегистрирован: Вт дек 01, 2009 09:02
Сообщений: 56
Напоминаю. Хотелось бы решение... Очень ждем.
Убрали бы пока предустановленные профайлы чтоли...

Кстати непонятно, зачем, если есть предустановленные, использовать отдельные профайлы например для дхцп скрининга?
Есть ли какая нибудь информация о том что их использует/будет использовать?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пн окт 08, 2012 10:49 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Данное поведение связано с некоторыми ограничениями, накладываемыми системными правилами в 1 и 2 профайлах.
Описание ограничений я уже запросил, выложу как только появится подробная информация.
Предлагаю далее вести обсуждение здесь: viewtopic.php?f=2&t=155963


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 13 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 85


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB