create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type profile_id 1
config access_profile profile_id 1 add access_id 1 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x800 port 1-8 deny
config access_profile profile_id 1 add access_id 9 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x806 port 1-8 deny

create access_profile ip source_ip_mask 255.255.255.255 profile_id 2
config access_profile profile_id 2 add access_id 1 ip source_ip 192.168.20.255 port 1-8 deny





Что ещё за правило написать, чтобы убить брудкаст?
Люди в блок попадают

Стандартные ACL тут не помогут, так как ACL IMPB отрабатывают раньше.

Клиенты попадают в block list, потому что на порт коммутатора приходит пакет с src ip 192.168.20.255. Вопрос в том, какой софт шлёт такие пакеты.

_________________
С уважением,
Бигаров Руслан.

я только непонял зачем блокировать ARP ?
Ведь если не будет ARP небудет и связи , поэтому всёже его наврное стоит разрешить.

_________________
Люблю писать с ошибками.....
D-Link User: DGS-3627G, DGS-3324SR, DES-3526, DES-1024D, DES-1016D, DWL-2100AP, DEM-310GT,DEM-330, DCS-950.

Я это расцениваю как одну из возможностей снижения блокировок по биндингу, т.к. абоненты блокируются именно по брудкастам

не помогло всё-равно блочит


Что обрабатывается раньше, чем ACL IMPB ? контент пакета?

Клиенты случайно не с OS Vista?

_________________
С уважением,
Бигаров Руслан.

когда-как, иногда Виста буянит, но зачастую обладатели ХР и касперского

а у вас есть какие-то предложения по поводу висты?

Насколько мне известно доработка IMPB сейчас ведётся, правда, сначала новая версия появится на DES-3526 и DES-3028, а потом и на остальных сериях.

_________________
С уважением,
Бигаров Руслан.

Сейчас что мне то делать?
Люди блочатся, вы говорите, что стандартные ACL имеют более низкий приоритет, нежели IMPB.
Каким образом можно предотвратить (убить траф до обработки IMPB) блокировку абонентов?

Если такого способа сейчас нет - говорите, я хотя-бы голову ломать перестану

ну так как из положения то выходить?
выключать IMB?

PCF

Vista ещё шлёт DHCP Info, вот из-за этого пакета блочится ПК, но мы работаем над этой проблемой.

_________________
С уважением,
Бигаров Руслан.

create access_profile packet_content_mask offset_16-31 0x0 0x0 0xFF 0x0 offset_32-47 0x0 0x0 0xFFFF0000 0x0 profile_id 1

create access_profile packet_content_mask offset_0-15 0xFFFFFFFF 0xFFFF0000 0x0 0x0 offset_16-31 0xFFFF0000 0x0 0x0 0x0 profile_id 2
config access_profile profile_id 2 add access_id 1 packet_content_mask offset_0-15 0xFFFFFFFF 0xFFFF0000 0x0 0x0 offset_16-31 0x8060000 0x0 0x0 0x0 port 1-8 permit

create access_profile packet_content_mask offset_0-15 0xFFFFFFFF 0xFFFF0000 0x0 0x0 offset_16-31 0x0 0x0 0x0 0x0 profile_id 3
config access_profile profile_id 3 add access_id 1 packet_content_mask offset_0-15 0xFFFFFFFF 0xFFFF0000 0x0 0x0 offset_16-31 0x0 0x0 0x0 0x0 port 1 deny



Все записи активные



Вопросы:

1) получается, что профили 2 и 3 неработают?
2) что можно сейчас сделать, чтобы выйти из положения?
3) заметил ещё фишку: при добавлении профиля, аналогичного 2 и 3, в режиме ARP Loose IMB не работает вообще, ставлю Strict - работает. Это баг или фича?

По логике вроде всё верно делаю: разрешаю ARP брудкаст, убиваю весь остальной, но он не убивается


Пофигу на висту, тут касперский виноват: он делает рассылку по 139 протоколу на предмет поиска левых лицензий в сегменте. Отключить это нереал.

Пришлите, пожалуйста, мне полный конфигурационный файл, логи, подробное описание и sniff данного пакетика.

_________________
С уважением,
Бигаров Руслан.

Выслал, забыл про описание пакета:



IMB record абонента: 192.168.28.23:00-22-15-87-df-20

Ещё один:



IMB record абонента: 192.168.28.51:00-e1-25-10-47-1d

И ещё:


По поводу каспера походу дела был неправ

Руслан, я конечно нашёл извращенский способ решения проблемы с брудкастами, заключающийся в том, чтобы по сообщениям в сислог проводить частичную очистку таблицы заблокированных, но это дибилизм, сами понимаете.

По совету Александра Зайцева, пытался настроить PCF, но результата это не принесло, конфиг и пакеты я вам отсылал, ответа не получил.

Вы моё письмо читали? или оно не дошло? могу повторить.

Есть ли какие-либо предложения по выходу из обсуждаемой ситуации?