faq обучение настройка
Текущее время: Вт мар 19, 2024 10:30

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 10 ] 
Автор Сообщение
 Заголовок сообщения: DGS-1210-28/ME не отрабатывает acl
СообщениеДобавлено: Ср июн 27, 2018 09:28 
Не в сети

Зарегистрирован: Ср июн 15, 2016 03:43
Сообщений: 24
Добрый день!
Дано: DGS-1210-28/ME System Firmware Version: 6.13.B048 System Hardware Version: A1

VID : 3202 VLAN NAME : 3202
VLAN Type : Static
VLAN Advertisement : Disabled
Member Ports : 13,15
Tagged Ports :
Untagged Ports : 13,15
Forbidden Ports :

В 13 порт подключен некий DHCP -сервер, в 15 порт подключен компьютер. Задача запретить DHCP-серверу, подключенному в 13 порт, отвечать на запросы (Discover).
Создал правило:
# ACL
create access_profile ip udp src_port_mask 0xffff profile_id 1
config access_profile profile_id 1 add access_id 1 ip udp src_port 67 src_port_mask 0xffff port 13 deny
enable cpu_interface_filtering

Но после создания правила сервер продолжает отвечать (offer) на запросы компьютера (Discover), а компьютер благополучно получает ip адрес. Где я ошибся?
P.S. Пробовал пакетный фильтр, но есть опасения, что я неправильно высчитывал chunk и байты в пакете, может есть какие то особенности со смещениями байт в этом коммутаторе?
Спасибо.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1210-28/ME не отрабатывает acl
СообщениеДобавлено: Ср июн 27, 2018 10:33 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср мар 29, 2017 16:43
Сообщений: 186
Здравствуйте, jknfer

Попробуйте такое правило:
create access_profile ip udp src_port_mask 0xffff profile_id 1
config access_profile profile_id 1 add access_id auto_assign ip udp src_port 68 port 13 deny


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1210-28/ME не отрабатывает acl
СообщениеДобавлено: Ср июн 27, 2018 11:00 
Не в сети

Зарегистрирован: Ср июн 15, 2016 03:43
Сообщений: 24
С таким правилом тоже не отрабатывает. Дело в том, что необходимо сохранить возможность подключать к этому порту dhcp-клиента.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1210-28/ME не отрабатывает acl
СообщениеДобавлено: Ср июн 27, 2018 11:22 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср мар 29, 2017 16:43
Сообщений: 186
У Вас включен функционал dhcp_local_relay?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1210-28/ME не отрабатывает acl
СообщениеДобавлено: Ср июн 27, 2018 11:39 
Не в сети

Зарегистрирован: Ср июн 15, 2016 03:43
Сообщений: 24
Нет, не использую.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1210-28/ME не отрабатывает acl
СообщениеДобавлено: Ср июн 27, 2018 12:20 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср мар 29, 2017 16:43
Сообщений: 186
На стенде правила отрабатывают корректно. Пришлите мне на почту конфиг проблемного коммутатора, топологию с описанием портов подключения.
Спасибо.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1210-28/ME не отрабатывает acl
СообщениеДобавлено: Ср июн 27, 2018 14:14 
Не в сети

Зарегистрирован: Ср июн 15, 2016 03:43
Сообщений: 24
Дело в том, что пример который я привожу, это тоже стенд, но он абсолютно повторяет абонентский доступ. Грубо говоря, у меня на столе точно такой же коммутатор подключенный по точно такой же схеме как на узлах доступа. У нас есть услуга, называемая "моно iptv", что бы приставка могла регистрироваться на сервере мидлваре был создан сквозной вилан (он отражен на схеме), в нем и бегает dhcp. Бывает клиент подключает , по незнанию, случайно лан-порт своего рутера в порт предназначенный для приставки, соответственно в сети появляется не санкционированный dhcp-сервер. Хорошо отрабатывает трафик сегментейшн, но это в пределах коммутатора. И везде было прописано правило, как в примере и я думал что оно работает. В общем, мне нужно было что то протестировать, и я включился в этот вилан и поймал левую сетку. Нашел откуда, это был DES 1210-28/me? правило было, но не отрабатывало:

create access_profile ip destination_ip_mask 224.0.0.0 profile_id 1
create access_profile ip udp src_port_mask 0xffff profile_id 2
create access_profile ipv6 udp src_port_mask 0xffff dst_port_mask 0xffff profile_id 3
create access_profile packet_content_mask offset1 l4 2 0xffff0000 profile_id 4
config access_profile profile_id 1 add access_id 1 ip destination_ip 224.0.0.0 destination_ip_mask 224.0.0.0 port 1-28 permit replace_priority_with 7
config access_profile profile_id 2 add access_id 1 ip udp src_port 67 src_port_mask 0xffff port 1-24 deny
config access_profile profile_id 3 add access_id 1 ipv6 udp src_port 546 src_port_mask 0xffff dst_port 547 dst_port_mask 0xffff port 1-24 deny
config access_profile profile_id 4 add access_id 1 packet_content offset1 0x870000 offset1_mask 0xffff0000 port 1-24 deny
config access_profile profile_id 4 add access_id 2 packet_content offset1 0x890000 offset1_mask 0xffff0000 port 1-24 deny
config access_profile profile_id 4 add access_id 3 packet_content offset1 0x8a0000 offset1_mask 0xffff0000 port 1-24 deny
config access_profile profile_id 4 add access_id 4 packet_content offset1 0x8b0000 offset1_mask 0xffff0000 port 1-24 deny
config access_profile profile_id 4 add access_id 5 packet_content offset1 0x1710000 offset1_mask 0xffff0000 port 1-24 deny
config access_profile profile_id 4 add access_id 6 packet_content offset1 0x1bd0000 offset1_mask 0xffff0000 port 1-24 deny
config access_profile profile_id 4 add access_id 7 packet_content offset1 0x2510000 offset1_mask 0xffff0000 port 1-24 deny
config access_profile profile_id 4 add access_id 8 packet_content offset1 0x76c0000 offset1_mask 0xffff0000 port 1-24 deny
config access_profile profile_id 4 add access_id 9 packet_content offset1 0xb350000 offset1_mask 0xffff0000 port 1-24 deny
config access_profile profile_id 4 add access_id 10 packet_content offset1 0x13880000 offset1_mask 0xffff0000 port 1-24 deny
enable cpu_interface_filtering

Убил все правила (возможно пакетный фильтр написан неправильно) , пересоздал одно нужное и стало отрабатывать.
Ну в общем я стал проверять всё на стенде и вот обнаружил на DGS 1210-28/me такую ситуацию, какую я описал выше.
Конфиг выслал на почту.


Вложения:
Cхема.jpg
Cхема.jpg [ 21.63 KiB | Просмотров: 2720 ]
Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1210-28/ME не отрабатывает acl
СообщениеДобавлено: Ср июн 27, 2018 14:58 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср мар 29, 2017 16:43
Сообщений: 186
Давайте продолжим общение в почте.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1210-28/ME не отрабатывает acl
СообщениеДобавлено: Ср июн 27, 2018 17:52 
Не в сети

Зарегистрирован: Чт сен 08, 2011 04:59
Сообщений: 1630
Откуда: Алтайский край, Барнаул
А почему вы не используете штатный функционал config filter dhcp_server ?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-1210-28/ME не отрабатывает acl
СообщениеДобавлено: Чт июн 28, 2018 06:20 
Не в сети

Зарегистрирован: Ср июн 15, 2016 03:43
Сообщений: 24
Цитата:
А почему вы не используете штатный функционал config filter dhcp_server ?


Я пробовал, но не сработало! Но скорее это моя вина нежели коммутатора ) Надо подробней разобраться в настройках. Но ACL надёжней и проще по-моему.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 10 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 24


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB