D-Link • Просмотр темы - DES-3200-26 A1 Нужна помощь с ACL

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

DES-3200-26 A1 Нужна помощь с ACL

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 2

[ Сообщений: 20 ]

На страницу 1, 2 След.

Предыдущая тема | Следующая тема

Автор

Сообщение

mendisobal

Заголовок сообщения: DES-3200-26 A1 Нужна помощь с ACL

Добавлено: Пн мар 06, 2017 13:41

Зарегистрирован: Пн мар 06, 2017 13:25
Сообщений: 13

Здравствуйте. К 11-му порту с включенным IMPB подключен абонент.
Vlan на коммутаторе настроны следующим образом:
VID : 1 VLAN Name : default
VLAN Type : Static Advertisement : Enabled
Member Ports : 25-26
Static Ports : 25-26
Current Tagged Ports :
Current Untagged Ports : 25-26
Static Tagged Ports :
Static Untagged Ports : 25-26
Forbidden Ports :

VID : 185 VLAN Name : VLAN185
VLAN Type : Static Advertisement : Disabled
Member Ports : 1-26
Static Ports : 1-26
Current Tagged Ports : 25-26
Current Untagged Ports : 1-24
Static Tagged Ports : 25-26
Static Untagged Ports : 1-24
Forbidden Ports :

Проблема в том, что с порта абонента летит тегированный трафик первого vlan
в итоге имеем следующую картину:
1 default 00-00-85-A2-BC-08 11 BlockByAddrBind
1 default 00-00-B4-D4-1E-13 11 BlockByAddrBind
1 default 00-15-17-44-26-78 11 BlockByAddrBind
1 default 00-15-5D-78-32-5E 11 BlockByAddrBind
1 default 00-1E-8F-AF-61-E6 11 BlockByAddrBind
До 130 маков (все компы с его сети)

Типичный ethernet пакет от него:
0000 ff ff ff ff ff ff 00 30 67 ab f9 b4 81 00 00 01
0010 08 06 00 01 08 00 06 04 00 01 00 30 67 ab f9 b4
0020 c0 a8 7b 76 00 00 00 00 00 00 c0 a8 7b 50 00 00
0030 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
Буду признателен, если поможете отфильтровать данный трафик
Пробовал составлять фильтровать по s_tag :
create access_profile packet_content_mask s_tag 0xffff profile_id 2
config access_profile profile_id 2 add access_id 1 packet_content s_tag 0x0001 port 11 deny - не помогло.
Скорее всего нужно фильтровать по параметру 81 00 (q-n-q vlan) но не могу подобрать нужный offset.

Вернуться наверх

mendisobal

Заголовок сообщения: Re: DES-3200-26 A1 Нужна помощь с ACL

Добавлено: Вт мар 07, 2017 13:44

Зарегистрирован: Пн мар 06, 2017 13:25
Сообщений: 13

Пробовал ещ вот так - не помогло
create access_profile ip source_ip_mask 255.255.255.0 vlan 0xfff profile_id 1
config access_profile profile_id 1 add access_id 1 ip source_ip 192.168.123. vlan default port 11 deny

Вернуться наверх

mendisobal

Заголовок сообщения: Re: DES-3200-26 A1 Нужна помощь с ACL

Добавлено: Чт мар 09, 2017 15:51

Зарегистрирован: Пн мар 06, 2017 13:25
Сообщений: 13

Уважаемы сотрудники Dlink. Вопрос все еще актуален.

Вернуться наверх

hijke

Заголовок сообщения: Re: DES-3200-26 A1 Нужна помощь с ACL

Добавлено: Пт мар 10, 2017 09:49

Зарегистрирован: Вс фев 28, 2010 12:57
Сообщений: 199

а если на этом порту 1 влан прописать как forbid ?

_________________
DES-3028, DES-3526, DES-3200_28 C1/A1/B1, DES-3200_26 C1, DGS-3627G, DGS-3420-26SC A2, DGS-3420-28TC A1, DGS-3620-28SC A1-EI, DGS-3200-24 A1

Вернуться наверх

mendisobal

Заголовок сообщения: Re: DES-3200-26 A1 Нужна помощь с ACL

Добавлено: Пт мар 10, 2017 12:02

Зарегистрирован: Пн мар 06, 2017 13:25
Сообщений: 13

прописывал - не помогло
Более того стандартная acl по блоку соурц ip не работает если кто-то сыпет трафлом с тегом на порт
В нормальной конфигурации работает.
Коммутаторы также меняли

Вернуться наверх

hijke

Заголовок сообщения: Re: DES-3200-26 A1 Нужна помощь с ACL

Добавлено: Пт мар 10, 2017 13:33

Зарегистрирован: Вс фев 28, 2010 12:57
Сообщений: 199

а причем тут qinq?
он включен на этом коммутаторе?

_________________
DES-3028, DES-3526, DES-3200_28 C1/A1/B1, DES-3200_26 C1, DGS-3627G, DGS-3420-26SC A2, DGS-3420-28TC A1, DGS-3620-28SC A1-EI, DGS-3200-24 A1

Вернуться наверх

mendisobal

Заголовок сообщения: Re: DES-3200-26 A1 Нужна помощь с ACL

Добавлено: Пт мар 10, 2017 14:03

Зарегистрирован: Пн мар 06, 2017 13:25
Сообщений: 13

На моем коммутаторе выключен - qinq летит от абонента воткнутого в порт

Вернуться наверх

mendisobal

Заголовок сообщения: Re: DES-3200-26 A1 Нужна помощь с ACL

Добавлено: Пт мар 10, 2017 14:05

Зарегистрирован: Пн мар 06, 2017 13:25
Сообщений: 13

Почти весь мусорный трафик летит с тегом
Конечно можно провести профилактическую беседу с абонентом, но хотелось бы иметь возможность решить проблему с нашей стороны.

Вернуться наверх

hijke

Заголовок сообщения: Re: DES-3200-26 A1 Нужна помощь с ACL

Добавлено: Пн мар 13, 2017 07:07

Зарегистрирован: Вс фев 28, 2010 12:57
Сообщений: 199

А если попробовать вот так написать
create access_profile packet_content_mask s_tag 0x000f profile_id 2
?

_________________
DES-3028, DES-3526, DES-3200_28 C1/A1/B1, DES-3200_26 C1, DGS-3627G, DGS-3420-26SC A2, DGS-3420-28TC A1, DGS-3620-28SC A1-EI, DGS-3200-24 A1

Вернуться наверх

mendisobal

Заголовок сообщения: Re: DES-3200-26 A1 Нужна помощь с ACL

Добавлено: Пн мар 13, 2017 11:19

Зарегистрирован: Пн мар 06, 2017 13:25
Сообщений: 13

попробовал create access_profile packet_content_mask s_tag 0x000f profile_id 2

config access_profile profile_id 2 add access_id auto_assign packet_content s_tag 0x1 port 11 deny
не помогло

Вернуться наверх

mendisobal

Заголовок сообщения: Re: DES-3200-26 A1 Нужна помощь с ACL

Добавлено: Пн мар 13, 2017 11:21

Зарегистрирован: Пн мар 06, 2017 13:25
Сообщений: 13

1 default 90-02-A9-AC-B0-91 11 BlockByAddrBind
1 default 94-DE-80-10-C9-7B 11 BlockByAddrBind
1 default A0-F3-C1-3E-C5-0B 11 BlockByAddrBind
1 default B4-99-BA-BF-D6-74 11 BlockByAddrBind
1 default BC-5F-F4-D3-D0-BC 11 BlockByAddrBind
1 default D4-3D-7E-D5-E7-93 11 BlockByAddrBind
185 VLAN185 70-CA-9B-CC-D2-69 11 Dynamic

Total Entries : 59

Вернуться наверх

hijke

Заголовок сообщения: Re: DES-3200-26 A1 Нужна помощь с ACL

Добавлено: Пн мар 13, 2017 12:41

Зарегистрирован: Вс фев 28, 2010 12:57
Сообщений: 199

mendisobal писал(а):

вместо s_tag 0x1 попробуйте написать так как у вас в первом посте
config access_profile profile_id 2 add access_id 1 packet_content s_tag 0x0001 port 11 deny

_________________
DES-3028, DES-3526, DES-3200_28 C1/A1/B1, DES-3200_26 C1, DGS-3627G, DGS-3420-26SC A2, DGS-3420-28TC A1, DGS-3620-28SC A1-EI, DGS-3200-24 A1

Вернуться наверх

mendisobal

Заголовок сообщения: Re: DES-3200-26 A1 Нужна помощь с ACL

Добавлено: Пн мар 13, 2017 13:22

Зарегистрирован: Пн мар 06, 2017 13:25
Сообщений: 13

Пробовал - интерпретатор автоматически преобразует в s_tag 0x1

Вернуться наверх

mendisobal

Заголовок сообщения: Re: DES-3200-26 A1 Нужна помощь с ACL

Добавлено: Пн мар 13, 2017 13:23

Зарегистрирован: Пн мар 06, 2017 13:25
Сообщений: 13

Касательно настроек q-in-q на свиче:
disable qinq
config qinq ports 1-26 role nni outer_tpid 0x88A8 trust_cvid disable vlan_translation disable

Вернуться наверх

hijke

Заголовок сообщения: Re: DES-3200-26 A1 Нужна помощь с ACL

Добавлено: Вт мар 14, 2017 07:11

Зарегистрирован: Вс фев 28, 2010 12:57
Сообщений: 199

получается что вы используете 1 влан для каких то нужд своих?
он у вас не тегированным бегает
а маки от клиента эти на соседнем свиче видно?

_________________
DES-3028, DES-3526, DES-3200_28 C1/A1/B1, DES-3200_26 C1, DGS-3627G, DGS-3420-26SC A2, DGS-3420-28TC A1, DGS-3620-28SC A1-EI, DGS-3200-24 A1

Вернуться наверх

Страница 1 из 2

[ Сообщений: 20 ]

На страницу 1, 2 След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 34

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения