1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Пт авг 01, 2025 16:12

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 9 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
roysbike
 Заголовок сообщения: DES-3526 и DES-3028 ACL, только PPPoE
СообщениеДобавлено: Вт сен 17, 2013 21:13 
Не в сети

Зарегистрирован: Вт авг 24, 2010 14:27
Сообщений: 231
Добрый вечер коллеги! Понимаю что тема уже изъезжена, но все же у меня проблема

Используем для авторизации клиентов , PPPoE. Ни iptv не обмена между клиентами нет и не будет. Вообщем , чистый PPPoE.

На доступе DES-3526 Firmware Version : Build 6.00.B60
2 Влана. 1-вый управляющий. 2-ой клиентский.

Нужно разрешить именно в vlan Net-31-80 0x8863 и 0x8864 , остальное все запретить.

DES-3526 Build 6.00.B60
Код:
 
create access_profile ethernet ethernet_type profile_id 1
config access_profile profile_id 1 add access_id auto_assign ethernet vlan Net-31-80 ethernet_type  0x8863 port 1-26 permit
config access_profile profile_id 1 add access_id auto_assign ethernet vlan Net-31-80 ethernet_type  0x8864 port 1-26 permit
config access_profile profile_id 1 add access_id auto_assign ethernet vlan Net-31-80 port 1-26 deny


Но IP, ARP , DHCP все равно прилетают. НА 3200 серии, все режется. Поправьте пожалуйста , в чем не прав.


DES-3028 firmware Build 2.41.B02
Код:
create access_profile ethernet vlan ethernet_type profile_id 1
config access_profile profile_id 1 add access_id auto_assign ethernet vlan Net-31-80 ethernet_type  0x8863 port 1-28 permit
config access_profile profile_id 1 add access_id auto_assign ethernet vlan Net-31-80 ethernet_type  0x8864 port 1-28 permit
config access_profile profile_id 1 add access_id auto_assign ethernet vlan Net-31-80 port 1-28 deny


Для защиты от поддельных PPPoE , используем сегментацию. На сколько это правильно?
Вернуться наверх
 Профиль  
 
eyeV
 Заголовок сообщения: Re: DES-3526 и DES-3028 ACL, только PPPoE
СообщениеДобавлено: Чт янв 16, 2014 07:34 
Не в сети

Зарегистрирован: Ср дек 18, 2013 09:15
Сообщений: 23
Удалось победить? Столкнулся с той же проблемой.
Вернуться наверх
 Профиль  
 
roysbike
 Заголовок сообщения: Re: DES-3526 и DES-3028 ACL, только PPPoE
СообщениеДобавлено: Чт янв 16, 2014 08:08 
Не в сети

Зарегистрирован: Вт авг 24, 2010 14:27
Сообщений: 231
К сожалению нет, arp dhcp гуляет на des-3028 ' 3828 '3526
Вернуться наверх
 Профиль  
 
Artem Kolpakov
 Заголовок сообщения: Re: DES-3526 и DES-3028 ACL, только PPPoE
СообщениеДобавлено: Чт янв 16, 2014 08:35 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Для блокировки arp и dhcp трафика попробуйте использовать cpu acl вместо обычных
Вернуться наверх
 Профиль  
 
roysbike
 Заголовок сообщения: Re: DES-3526 и DES-3028 ACL, только PPPoE
СообщениеДобавлено: Чт янв 16, 2014 08:51 
Не в сети

Зарегистрирован: Вт авг 24, 2010 14:27
Сообщений: 231
покажите пожалуйста пример для 3526 или 3028
Вернуться наверх
 Профиль  
 
eyeV
 Заголовок сообщения: Re: DES-3526 и DES-3028 ACL, только PPPoE
СообщениеДобавлено: Чт янв 16, 2014 10:15 
Не в сети

Зарегистрирован: Ср дек 18, 2013 09:15
Сообщений: 23
Если позволите влезу в чужой тикет, общими силами решим.

У нас задача следующая. Разрешить только подключения PPPoE с абонентских портов только в абонентском VLAN. Иногда в портах висят другие VLANы и ограничивать их мы не хотим.

На 3200 работает такая схема. Порты с 1-24, VLAN абонентов номер 4.
Код:
delete access_profile all
create access_profile packet_content_mask offset1 l2 0 0xFFFF offset2 l3 0 0xFF profile_id 3
config access_profile profile_id 3 add access_id 1 packet_content offset1 0x8863 offset2 0x0007 port 1-24 deny
create access_profile ethernet  vlan 0xFFF ethernet_type  profile_id 3
config access_profile profile_id 4 add access_id 2 ethernet vlan_id 4 ethernet_type 0x8863 port 1-24 permit
config access_profile profile_id 4 add access_id 3 ethernet vlan_id 4 ethernet_type 0x8864 port 1-24 permit
config access_profile profile_id 4 add access_id 4 ethernet vlan_id 4 port 1-24 deny


На 3526 работает такая схема, но как матчить там VLAN я пока не придумал... Для тех портов где другие VLANы мы придумали прописывать соответсвующую ACL, но это не выход.
Код:
delete access_profile all
create access_profile packet_content_mask offset_16-31 0xFFFF00FF 0x0 0x0 0x0 profile_id 20
config access_profile profile_id 20 add access_id 1 packet_content_mask offset_16-31 0x88630007 0x0 0x0 0x0 port 1-24 deny
create access_profile ethernet ethernet_type profile_id 30 
config access_profile profile_id 30 add access_id 100 ethernet ethernet_type 0x8863 port 1-24 permit
config access_profile profile_id 30 add access_id 200 ethernet ethernet_type 0x8864 port 1-24 permit
create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 40
config access_profile profile_id 40 add access_id 100 ethernet source_mac 00-00-00-00-00-00 port 1-24 deny

И добавляем ACL для порта 10, в нем торчит некий друогй VLAN.
Код:
create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 10
config access_profile profile_id 10 add access_id 100 ethernet source_mac 00-00-00-00-00-00 port 10 permit
Вернуться наверх
 Профиль  
 
eyeV
 Заголовок сообщения: Re: DES-3526 и DES-3028 ACL, только PPPoE
СообщениеДобавлено: Чт янв 16, 2014 14:39 
Не в сети

Зарегистрирован: Ср дек 18, 2013 09:15
Сообщений: 23
Следующая конструкция так же не сработала

Код:
create access_profile packet_content_mask offset_16-31 0xFFFF00FF 0x0 0x0 0x0 profile_id 20
config access_profile profile_id 20 add access_id 1 packet_content_mask offset_16-31 0x88630007 0x0 0x0 0x0 port 1-24 deny

create access_profile ethernet ethernet_type profile_id 30 
config access_profile profile_id 30 add access_id 100 ethernet ethernet_type 0x8863 port 1-24 permit
config access_profile profile_id 30 add access_id 200 ethernet ethernet_type 0x8864 port 1-24 permit

create access_profile packet_content_mask offset_16-31 0xFFFFFFFF 0x0 0x0 0x0 profile_id 40
config access_profile profile_id 40 add access_id 1 packet_content_mask offset_16-31 0x81000004 0x0 0x0 0x0 port 1-24 deny
Вернуться наверх
 Профиль  
 
terrible
 Заголовок сообщения: Re: DES-3526 и DES-3028 ACL, только PPPoE
СообщениеДобавлено: Чт янв 16, 2014 15:06 
Не в сети

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default
А у вас абоненты тегерированным вланом в порты 1-24 подключаются к 3526 ?
Если вам нужно, чтобы только на определённых вланах в абонентских портах работал только PPPoE, почему-бы этот влан не очистить на аплинках и не трогать абонентские порты?
Вернуться наверх
 Профиль  
 
eyeV
 Заголовок сообщения: Re: DES-3526 и DES-3028 ACL, только PPPoE
СообщениеДобавлено: Чт янв 16, 2014 15:59 
Не в сети

Зарегистрирован: Ср дек 18, 2013 09:15
Сообщений: 23
У нас абоненты подключаются в нетегированные порты и нетегированными же уходят в аплинки.
Выкладываю рабочий конфиг.

Блочит PPPoE на абонпотах (1-24) в абонентском VLANе. Другие VLANы на портах 1-24 не трогает.

Код:
delete access_profile all
create access_profile packet_content_mask offset_16-31 0xFFFF00FF 0x0 0x0 0x0 profile_id 20
config access_profile profile_id 20 add access_id 1 packet_content_mask offset_16-31 0x88630007 0x0 0x0 0x0 port 1-24 deny
create access_profile ethernet ethernet_type profile_id 30 
config access_profile profile_id 30 add access_id 100 ethernet ethernet_type 0x8863 port 1-24 permit
config access_profile profile_id 30 add access_id 200 ethernet ethernet_type 0x8864 port 1-24 permit
create access_profile packet_content_mask offset_0-15 0x0 0x0 0x0 0xFFFF0FFF profile_id 40
config access_profile profile_id 40 add access_id 1 packet_content_mask offset_0-15 0x0 0x0 0x0 0x81000004 port 1-24 deny
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 9 ] 

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 40

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB