D-Link • Просмотр темы - Ограничение доступа абонентам

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Ограничение доступа абонентам - ACL на 3028

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 2 из 2

[ Сообщений: 30 ]

На страницу Пред. 1, 2

Предыдущая тема | Следующая тема

Автор

Сообщение

neonman

Заголовок сообщения:

Добавлено: Чт окт 01, 2009 21:38

Зарегистрирован: Ср окт 15, 2008 13:44
Сообщений: 131
Откуда: Тольятти

о, действительно, там же пакет с нулевым айпи летит, может тогда вообще сделать сonfig access_profile profile_id 5 add access_id 200 ip source_ip 0.0.0.0 port 1-28 permit? так хоть правил меньше займет

Вернуться наверх

maxim-ka

Заголовок сообщения:

Добавлено: Пт окт 02, 2009 10:29

Зарегистрирован: Вт май 26, 2009 15:49
Сообщений: 10

Помогите составить правило ACL которое закроет данный трафик

Код:

32:21.885168 arp who-has 192.168.1.1 tell 192.168.19.110
32:21.891337 arp who-has 192.168.1.1 tell 192.168.19.110
32:21.913737 arp who-has 192.168.1.1 tell 192.168.19.110
32:21.921658 arp who-has 192.168.1.1 tell 192.168.19.110
32:21.923410 arp who-has 192.168.1.1 tell 192.168.21.125
32:21.927270 arp who-has 192.168.1.1 tell 192.168.21.125
32:21.932610 arp who-has 192.168.1.1 tell 192.168.19.110
32:22.016230 arp who-has 192.168.1.1 tell 192.168.19.110
32:22.096705 arp who-has 192.168.1.1 tell 192.168.19.110
32:22.108385 arp who-has 192.168.1.1 tell 192.168.21.125
32:22.141649 arp who-has 192.168.1.1 tell 192.168.19.110
32:22.215488 arp who-has 192.168.1.1 tell 192.168.19.110
32:22.243992 arp who-has 192.168.1.1 tell 192.168.19.110

мне нужно запретить все arp запросы к адресу 192.168.1.1 потому как запросы идут не дожидаясь ответа по времени видно что в одну секунду большое количество пакетов проходит.
Возможно ли это ?

Вернуться наверх

Denis Evgraphov

Заголовок сообщения:

Добавлено: Пт окт 02, 2009 11:57

Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan

2 neonman: можно
2 maxim-ka: А что за устройство в сети у Вас имеет IP 192.168.1.1? предполагаю, что это - сервер и тогда не стоит запрещать все ARP запросы к нему.

Вернуться наверх

maxim-ka

Заголовок сообщения:

Добавлено: Пт окт 02, 2009 12:01

Зарегистрирован: Вт май 26, 2009 15:49
Сообщений: 10

нет это не сервер
если только клиент сам выставит себе такой адрес

Вернуться наверх

maxim-ka

Заголовок сообщения:

Добавлено: Пт окт 02, 2009 12:04

Зарегистрирован: Вт май 26, 2009 15:49
Сообщений: 10

в любом случае это трафик нежелательный

Вернуться наверх

maxim-ka

Заголовок сообщения:

Добавлено: Пт окт 02, 2009 13:13

Зарегистрирован: Вт май 26, 2009 15:49
Сообщений: 10

если возможно покажите правило дл я блокировки данного трафика

Вернуться наверх

Denis Evgraphov

Заголовок сообщения:

Добавлено: Пт окт 02, 2009 13:13

Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan

Вот такое правило запретит обращаться по ARP протоколу на 192.168.1.1 для untag клиентских портов 1-24:

Код:

create access_profile  packet_content  offset_0-15  0x0 0x0 0x0 0xffff0000 offset_32-47  0x0 0xffff 0xffff0000 0x0 profile_id 10
config access_profile profile_id 10  add access_id 2  packet_content  offset 12 0x8060000 offset 36 0xc0a8 offset 40 0x1010000 port 1-24 deny

Вернуться наверх

maxim-ka

Заголовок сообщения:

Добавлено: Пт окт 02, 2009 13:14

Зарегистрирован: Вт май 26, 2009 15:49
Сообщений: 10

а если эти пакеты tag 5

Вернуться наверх

Denis Evgraphov

Заголовок сообщения:

Добавлено: Пт окт 02, 2009 13:17

Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan

То нужно дополнительно учесть смещение в 4 байта

Вернуться наверх

Denis Evgraphov

Заголовок сообщения:

Добавлено: Пт окт 02, 2009 13:52

Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan

А правило будет выглядеть вот так:

Код:

create access_profile  packet_content  offset_16-31  0xffff0000 0x0 0x0 0x0 offset_32-47  0x0 0x0 0x0000ffff 0xffff0000 profile_id 10
config access_profile profile_id 10  add access_id 2  packet_content  offset 16 0x8060000 offset 40 0xc0a8 offset 44 0x1010000 port 1-24 deny

Вернуться наверх

maxim-ka

Заголовок сообщения:

Добавлено: Пт окт 02, 2009 14:36

Зарегистрирован: Вт май 26, 2009 15:49
Сообщений: 10

Спасибо!!!

Вернуться наверх

neonman

Заголовок сообщения:

Добавлено: Чт окт 15, 2009 15:27

Зарегистрирован: Ср окт 15, 2008 13:44
Сообщений: 131
Откуда: Тольятти

вообще получилось сделать собсна как и описывал, осталась одна проблема - когда хосту доступ в сеть не разрешен - мультикаст всё равно работает, можно его тоже как нить ацлем заблочит?

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Чт окт 15, 2009 15:34

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

Да, использовать функцию Limited Multicast Addresses.

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

neonman

Заголовок сообщения:

Добавлено: Чт окт 15, 2009 15:37

Зарегистрирован: Ср окт 15, 2008 13:44
Сообщений: 131
Откуда: Тольятти

хм... то есть тупо с прописыванием/удалением ацля - еще и лимитед врубать/вырубать? а кстати, limited multicast address по снмп рулится?

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Чт окт 15, 2009 15:44

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

Да.

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

Страница 2 из 2

[ Сообщений: 30 ]

На страницу Пред. 1, 2

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 11

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения