D-Link • Просмотр темы - Блокирование ipv6 на DGS 3100 24TG

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Блокирование ipv6 на DGS 3100 24TG

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 1

[ Сообщений: 9 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

PeredoZZZ

Заголовок сообщения: Блокирование ipv6 на DGS 3100 24TG

Добавлено: Пт мар 04, 2011 13:57

Зарегистрирован: Пн окт 20, 2008 10:02
Сообщений: 3

Добрый день!
Пытаюсь заблокировать трафик ipv6 на DGS 3100-24TG по ether type таким образом

create access_profile profile_id 1 ethernet ethernet_type
conf access prof 1 add access_id auto_assign ethernet ethernet_type 86DD ports all deny

Слушаю снифером - всё равно проходят такие пакеты: ICMPv6 Neighbor solicitation, DHCPv6 Solicit и т.д.

Помогите разобраться. Задача заблокировать полностью ipv6 трафик.

Вернуться наверх

Alexandr Zaitsev

Заголовок сообщения: Re: Блокирование ipv6 на DGS 3100 24TG

Добавлено: Пт мар 04, 2011 15:27

Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow

Это multicast пакеты и они не обрабатываются ACL.
Включите мультикаст фильтрацию на портах, это должно помочь:

Код:

config multicast filtering all filter

Вернуться наверх

founder

Заголовок сообщения: Re: Блокирование ipv6 на DGS 3100 24TG

Добавлено: Вт окт 30, 2012 11:34

Зарегистрирован: Пт мар 23, 2012 07:24
Сообщений: 106

дабы не плодить темы напишу тут:
модельный ряд коммутаторов DES-3200-28/52 ревизий A1, B1, C1
задача закрыть мультикаст от абонента (аналогично тому как написано выше ICMPv6 Neighbor solicitation, DHCPv6 Solicit)
в сети присутствует ism на абонентские порты для запроса IPTV. требуется разрешить в этот влан запросы на опр. группы, а весь остальной мультиксат дропать на абонентских портах.
сейчас проблема заключается в том, что ICMPv6 Neighbor solicitation, DHCPv6 Solicit пакеты влетающие в абонентский порт попадают не в ISM влан, а в абонентский и грузят как свитчи, так и клиентов (в сети сейчас гора левого мультикаста из-за этого).
описанное выше решение фильтровать незарегистрированные группы не прокатывает. мультикаст прекрасно ходит вне зависимости от настроек multicast filtering.

помогите пожалуйста порезать на корню любой мультикастовый трафик, обычные ACL не режут его, с помощью cpu access_profile так же не удаётся хоть как-то изменить положение дел.

Вернуться наверх

Alexandr Zaitsev

Заголовок сообщения: Re: Блокирование ipv6 на DGS 3100 24TG

Добавлено: Вт окт 30, 2012 11:43

Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow

Т.е. CPU ACL тоже не срабатывают?

Вернуться наверх

founder

Заголовок сообщения: Re: Блокирование ipv6 на DGS 3100 24TG

Добавлено: Чт ноя 01, 2012 14:14

Зарегистрирован: Пт мар 23, 2012 07:24
Сообщений: 106

сейчас добился срабатывания cpu acl, но режется вообще всё. что тоже не нужно.

Код:

create cpu access_profile profile_id 1 ethernet ethernet_type
config cpu access_profile profile_id 1 add access_id 1 ethernet ethernet_type 0x802 port 1-24 deny
config cpu access_profile profile_id 1 add access_id 2 ethernet ethernet_type 0x8809 port 1-24 deny
config cpu access_profile profile_id 1 add access_id 3 ethernet ethernet_type 0x800 port 1-24 deny
config cpu access_profile profile_id 1 add access_id 4 ethernet ethernet_type 0x86DD port 1-24 deny

Код:

create cpu access_profile profile_id 2 ethernet destination_mac 01-00-00-00-00-00
config cpu access_profile profile_id 2 add access_id 1 ethernet destination_mac 01-00-00-00-00-00 port 1-24 deny

оба профиля преследуют примерно одну и ту же цель - порезать мультикаст от абонента. но как при этом разрешить абонентам запрашивать группы из сети?

Вернуться наверх

Denis Evgraphov

Заголовок сообщения: Re: Блокирование ipv6 на DGS 3100 24TG

Добавлено: Чт ноя 01, 2012 14:18

Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan

Это на каких коммутаторах? И зачем Вы весь IP трафик (0x0800) зарезали?

Вернуться наверх

founder

Заголовок сообщения: Re: Блокирование ipv6 на DGS 3100 24TG

Добавлено: Чт ноя 01, 2012 16:02

Зарегистрирован: Пт мар 23, 2012 07:24
Сообщений: 106

это на DES-3200 любых версий
какой у IPv4 ether type на мультикаст? мне не достаточно IPv6 мультикаст резать. мне нужно чтобы с абонентского порта в абонентский влан вообще нельзя было инжектировать ни один мультикаст пакет любого протокола. но при этом надо сохранить возможность абонентом запрашивать и смотреть IPTV

Вернуться наверх

Gonarh

Заголовок сообщения: Re: Блокирование ipv6 на DGS 3100 24TG

Добавлено: Чт ноя 01, 2012 22:00

Зарегистрирован: Чт авг 26, 2010 16:34
Сообщений: 514
Откуда: North KZ south Kokchetav

Код:

какой у IPv4 ether type на мультикаст?

0800

Код:

мне нужно чтобы с абонентского порта в абонентский влан вообще нельзя было инжектировать ни один мультикаст пакет любого протокола

попробуйте
config router_ports_forbidden abonent_vlan_name add ports_abonent

Вернуться наверх

founder

Заголовок сообщения: Re: Блокирование ipv6 на DGS 3100 24TG

Добавлено: Вт ноя 06, 2012 15:04

Зарегистрирован: Пт мар 23, 2012 07:24
Сообщений: 106

0x0800 - это ether type вообще IP трафика
router_ports_forbidden - это порты, запрос с которых запрещён, но если они сами вещают без запроса, то это не спасает. трафик безпрепятственно уходит во влан.

Вернуться наверх

Страница 1 из 1

[ Сообщений: 9 ]

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 34

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения