На некоторых коммутаторах применяется другой синтакс ACL.

Вот на пример в 38-х профиль и правила пишутся так:


Правильно ли заданы аналогичные профиль и правила на 3200-10?

В разных сериях offset-ы считаются несколько по разному. Просто учтите что в DGS-32XX смещение на тег учитывать не нужно.

Это в случае когда пакет нетегированный приходит, верно?

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Иван, вы запутали меня ещё больше.
Скажите правильно ли я написал правила для отсечения ответа от DHCP сервера на клиентском порту для 3200?
В CLI manual-e даются примеры синтакса через оффсеты.

Немного не понял откуда Вы взяли 10? И чем же я вас запутал?

10 - с потолка. Мануала, то нет.

Я Вам таблицу соответствия offset-ов байтам выслал. Так будет понятнее?

Иван, пришлите мне тоже, пожалуйста. Спасибо.

p.s.Хотя, мне кажется, такую таблицу полезно в FAQ повесить, чем расписывать математические расчеты.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Я Вам таблицу выслал.

Спасибо, получил.
Блин, так, оказывается, я неправильно понимал понятие chunk, а в мануале вообще ни слова про это!!! Я думал, что цифры в скобках обозначают offset, поэтому жаловался в этом топике, что offset'ов слишком мало, а оказывается, это группы по 4 байта. Е-мое, так можно свитчом контролировать аж первые 128 байт пакета. И почему меня никто не поправил в том топике, что я неправильно понял??
А когда будет мануал с описанием появившейся функции Packet content filter?
И еще хотелось бы точного перечисления пакетов, которые идут на CPU, дабы фильтровать их в CPU ACL. Понятно, что пинг свитча или ARP lookup идет на CPU. А, например, IGMP - это управляющие пакеты и обрабатывается свитчом по идее. Но идут ли на CPU или ими занимается обычные ACL? Это просто пример.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

В мануале это действительно подробно не описано. По поводу пакетов идущих не интерфейс CPU всё завсит от настроек устройства. Это могут быть IGMP пакеты если на свитче включён IGMP Snooping. Это BPDU пакеты если на свитче включён STP. Это ARP пакеты, DHCP пакеты если на свитче включён DHCP Relay. В конце концов IP Broadcast пакеты.

Правильно ли я понимаю, что:

1) фильтровать, какие ARP lookup должны проходить с порта, а какие нет, - настраивается именно в CPU ACL?
2) пакет IGMP report, приходящий с порта на мультикаст-группу 224.0.0.22, настраивается именно в CPU ACL?

И общий вопрос по поводу фразы "смещение на тег учитывать не нужно" - никогда не нужно или не нужно, когда нету такого тега? Другими словами, пакет теперь рассматривается и анализируется побайтно as is приходящий на порт, верно?

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

1) Именно так.
2) Если включён IGMP Snooping и настроен querier то именно так.

На этой серии вообще не нужно учитывать смещение теперь.

Спасибо. А по поводу 2-го вопроса уточню - а если querier у провайдера, но я ловлю с порта провайдера чужие report'ы? Можно их отсечь через ACL CPU (написать сам смогу)?

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

У меня в ACL есть правило, пропускающее только DHCP ответы от провайдера и все пакеты ARP, а ниже правило, запрещающее броадкаст как класс (по MAC destination). Так вот все работает верно (DHCP ответ приходит, ARP тоже, остальное броадкастовое нет). При этом ни одного правила в ACL CPU (вообще в состоянии disabled). Как же так, если "IP Broadcast пакеты" должны фильтроваться в ACL CPU?

p.s.Проверял как и всегда сниффером, зеркалируя другие порты этого же VLANа.

update: Проверил, отфильтрует ли свитч броадкасты. Удалил все правила ACL и сделал одно правило в ACL CPU. Конфиг выглядит так:


Это весь раздел ACL в конфиге без купюр.
Посмотрел сниффером на других портах - проходят броадкасты (ARP, нетбиос и прочее). Если сделать запрещающее правило в ACL, то не проходят. Иван, это нормальная работа устройства?

p.p.s.А вот IGMP Query при настроенном IGMP snooping (но выключенном Querier) ACL CPU фильтрует

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)