Наконец начал разбираться с ACL на коммутаторах D'Link. Подопытным является DES-3200-26/C1 с прошивкой 4.37.B007.

Решил начать с ACL типа packet_content. В сети не нашлось информации о том, нужно ли учитывать vlan при конфигурации ACL на нетагированых портах, поэтому пришлось эксперементировать. Результат - не нужно!
Хорошо бы написать какой нибудь FAQ на эту тему, потому что в этом материале указано, что нужно учитывать, а в этом ни слова. Непонятно. Особенно непонятно что будет с тагированым пакетом и дважды тагированым пакетом.

Далее пробуем блокировать траффик по ethertype. Создаем правила:

create access_profile profile_id 100 packet_content offset_chunk_1 3 0x0000ffff
config access_profile profile_id 100 add access_id 10 packet_content offset_chunk_1 0x0800 port 1 deny
config access_profile profile_id 100 add access_id 10 packet_content offset_chunk_1 0x0806 port 1 deny
config access_profile profile_id 100 add access_id 10 packet_content offset_chunk_1 0x86dd port 1 deny

IP-пакеты блокируются, ARP блокируются, а IPV6 нет... так же продолжает работать IPTV, и наверняка прилетят ip адреса по dhcp_relay.

Та же самая история и с ACL типа ethernet ethertype.

create access_profile profile_id 100 ethernet ethernet_type
config access_profile profile_id 100 add access_id 1 ethernet ethernet_type 0x86DD port 1 deny

IPV6 не блокируется.

И с IPV6 ACL

create access_profile profile_id 100 ipv6 destination_ipv6_mask ::
config access_profile profile_id 100 add access_id 1 ipv6 destination_ipv6 :: port 1 deny

Тоже не работает. Хотя в последнем случае я не совсем уверен в правильности, потому что информации по этому типу ACL вовсе нету.

Из всего этого делаем вывод, что пакетики успевают обрабатываться коммутатором до попадания в ACL. Это бага или фича? Если фича, то можно ли её как то выключить? В целом не критично. limited multicast address справляется. главное что бы блокировалось IPv6, для этого надо ждать прошивку скорее всего?

Спасибо за ответы

Опытным путем выяснилось, что IPv6 пакеты способен заблокировать только cpu_interface_filtering. Там же можно и заблокировать igmp-пакеты.
Вопрос к разработчикам: нормально ли это?

А можете показать свои АКЛы?

_________________
Народ и партия - едины!

Примеры выше уже есть, вот те, на которых на данный момент остановился:

create access_profile profile_id 101 profile_name PPPoE ethernet destination_mac FF-FF-FF-FF-F0-00 ethernet_type vlan
config access_profile profile_id 101 add access_id 10 ethernet destination_mac XX-XX-XX-XX-X0-00 mask FF-FF-FF-FF-F0-00 ethernet_type 0x8864 port 1-24 permit
config access_profile profile_id 101 add access_id 30 ethernet destination_mac FF-FF-FF-FF-FF-FF mask FF-FF-FF-FF-FF-FF ethernet_type 0x8863 port 1-24 permit
config access_profile profile_id 101 add access_id 40 ethernet destination_mac XX-XX-XX-XX-X0-00 mask FF-FF-FF-FF-F0-00 ethernet_type 0x8863 port 1-24 permit
config access_profile profile_id 101 add access_id 60 ethernet vlan_id 555 port 1-24 deny

create cpu access_profile profile_id 2 ip igmp destination_ip_mask 255.255.255.0
config cpu access_profile profile_id 2 add access_id 10 ip igmp destination_ip 228.101.12.0 port 1-24 permit
create cpu access_profile profile_id 3 ip igmp destination_ip_mask 255.255.255.255
config cpu access_profile profile_id 3 add access_id 10 ip igmp destination_ip 224.0.0.2 port 1-24 permit
create cpu access_profile profile_id 4 ip igmp destination_ip_mask 0.0.0.0
config cpu access_profile profile_id 4 add access_id 10 ip igmp destination_ip 0.0.0.0 port 1-24 deny
create cpu access_profile profile_id 5 ipv6 source_ipv6_mask ::
config cpu access_profile profile_id 5 add access_id 10 ipv6 source_ipv6 :: port 1-24 deny

XX-XX-XX-XX-X0-00 mask FF-FF-FF-FF-F0-00 - маки cisco ASR-1006
igmp можно было заблокировать и limited_multicast_address, но для большей безопасности и отсутствия мусора в show igmp_snooping groups решили ACL.

В данном случае IPv6 пакеты и igmp-пакеты -- одно и то же. IGMP -- это мультикаст. Кроме IPv6 мультикаста других IPv6 пакетов я в сети не видел. Если IPv6 включен в настройках сетевухи и явно не используется, то сетевуха периодически шлёт IPv6 мультикаст. Для чего, хз.

Свич не может отличить IPv4 мультикаст от IPv6 мультикаста, т.к. выбирает маршрут для пакетов по МАКам, а маки в IPv4 и IPv6 мультикасте, по идее, одинаковые.

Есть мнение, что это работает как-то так:
на свич приходит мультикаст и свич рассылает его на все доступные интерфейсы. Но свич тоже имеет интерфейс!!!
Получается что мультикаст распространяется на все подключённые сетевухи + на интерфейс свича.
Мультикаст, проходящий на сетевухи абонентов, режется простыми АЦЛ.
Мультикаст, проходящий на интерфейс свича, режется ЦПУ АЦЛ.


По идее, когда на интерфейс свича проходит мультикаст, то свич рассылает его на все порты.
Вот и получается, что АЦЛ режет мультикаст, но он всё равно проходит на ЦПУ свича и дальше на все порты.
Всё, вроде, логично.

Но. Весьма забавная ситуация. Подключаю к свичу 2 компа, посылаю мультикаст с одного на второй, с запущенным wireshark, -- мультикаст проходит. Пишу АЦЛ, блокирующую весь трафик на порту -- мультикаст пропадает.
Т.е. мультикаст режется без ЦПУ АЦЛ.
С чем связанно пока не разбирался, не было времени, но думаю всё из-за управляющей влан. Управление в одной влан, абоненты в другой влан. Из-за такой сегментации трафик от абонентов(мультикаст) не проходит в управляющую влан и не попадает на интерфейс свича.
В этом не уверен, так как не помню, была ли управляющая влан на свиче во время тестов. Удачи.

Не сочтите за грубость, но у вас явно в голове полная каша по этому поводу Позвольте попробую вам помочь разобраться.



Мультикаст сообщения в IPv4 имеют мак адреса 01:00:5E:... а в IPv6 33:33:... , так же у них разный ethernet type. 3200 серия длинков об этом прекрасно знает, т.к. имеет неплохую поддержку IPv6. У нас в офисе давно уже живет IPv6 и в интернет мы ходим через него. Ваша сетевуха шлет IPv6 мультикаст потому что она сама назначила себе Link-Local IPv6 адрес и подписывается в группу мультикаст рассылки для этого адреса. Так же там бегает всякий шлак типа LLMNR, mDNS, DHCPv6 и пр.

Тут уже ближе к правде. Свич рассылает его на все интерфейсы только если не включен MLD/Igmp snooping. Если включен - пакеты рассылаются только на те интерфейсы, к которым они подключены. Они для этого и созданы, что бы мультикаст не превращался в броадкаст. Интерфейс свитча получит пакет только если он есть в этом влане. Как правило ip интерфейс у свитча один - в управляющем влане.
Тут скорее другая ситуация: алгоритм igmp_snooping перехватывает igmp сообщения до того как они попадают в ACL, и передает их в управление CPU, там их уже и появляется возможность зафильтровать CPU ACL. Возможно с выключенным IGMP снупингом пакеты будут фильтроваться обычным ACL, не пробовал.

За грубость не сочту. Ничего страшного, помогай. Форум для того и предназначен, чтоб обмениваться информацией. Глядишь в споре и родится истина.

Может быть. Я много часов потратил, но так и не нашёл инфу, как пересчитать IPv6 в МАК. Поэтому, отталкиваюсь от того, что МАКи одинаковые.
Кинь ссылку на пересчёт IPv6 в МАК. Или файл на почту romkabass@rambler.ru

Я без снупинга проверял. Твой вариант с перехватом igmp сообщений до АЦЛ интересен, на днях проверю.

Такой вопрос: если "igmp_snooping перехватывает igmp сообщения до того как они попадают в ACL, и передает их в управление CPU", то как у тебя на ЦПУ попадает IPv6 мультикаст? MLD snooping тоже включен и перехватывает до АЦЛ?
Отпишись, интересно.

Отправил на почту 2 файлика. Так же рекомендую поизучать общую информацию о протоколе IPv6, механизмов его работы. Попробую поискать для вас информацию.

MLD Snooping и включал, и выключал. Результат один и тот же. И попадает туда не только мультикаст.. Поэтому и хочется услышать ответ от модераторов! Куку?

Получил ответ от сотрудников Длинка через представительство в нашем городе.

"Попробуйте, пожалуйста, использовать CPU ACL для блокировки IPv6, это должно помочь.
Если нужно IGMP трафик ограничить и при этом включен IGMP Snooping, то также нужно использовать CPU ACL, потому что обычные ACL на него не действуют.
При составлении PCF ACL нужно учитывать тегирован ли трафик или нет."

Т.о. вопрос исчерпан

Перечитал все, но как вопрос решился неясно, покажите пожалуйста рабочий вариант блокировки IPv6, и его мультикаста.

Вопрос еще актуален? Могу привести примеры

Собственно, в сообщениях выше у меня есть пример полной фильтрации:



Уже не помню точно, но кажется при этом должен быть включен MLD_Snooping
Ну и не забываем включать cpu_interface filtering