1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Сб июл 19, 2025 20:13

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 2 из 2
  [ Сообщений: 29 ]  На страницу Пред.  1, 2
  Предыдущая тема | Следующая тема 
Автор Сообщение
Kras_alex
СообщениеДобавлено: Чт мар 31, 2011 16:45 
Не в сети

Зарегистрирован: Вт июн 22, 2010 18:55
Сообщений: 226
Пришлите пожалуйста правило написания ACL при котором запрещается клиенту выставлять у себя маки определенных устройств.
Например клиенту запрещено ставить мак 00:01:02:03:04:05. Как это сделать?

Теперь пытаюсь сам написать ACL:


Значит я так понимаю, мне нужно разрешить DHCP.
То есть чтобы клиенты могли запрашивать IP адрес, но работать в режиме DHCP сервера не могли.

Дальше мне необходимо запретить общение с помощью NetBIOS:



create access_profile packet_content_mask offset1 l2 0 0xffff offset2 l3 6 0x00ff offset3 l4 0 0xffff profile_id 1
config access_profile profile_id 1 add access_id auto_assign packet_content offset1 0x800 offset2 0x0 offset3 0x87 port 1-24 deny
config access_profile profile_id 1 add access_id auto_assign packet_content offset1 0x800 offset2 0x0 offset3 0x89 port 1-24 deny
config access_profile profile_id 1 add access_id auto_assign packet_content offset1 0x800 offset2 0x0 offset3 0x8a port 1-24 deny
config access_profile profile_id 1 add access_id auto_assign packet_content offset1 0x800 offset2 0x0 offset3 0x8b port 1-24 deny
config access_profile profile_id 1 add access_id auto_assign packet_content offset1 0x800 offset2 0x0 offset3 0x1bd port 1-24 deny
config access_profile profile_id 1 add access_id auto_assign packet_content offset1 0x800 offset2 0x0 offset3 0x44 port 1-24 deny



Дальше мне необходимо разрешить общение по локальным ипам 10.9 и 10.8

create access_profile ip source_ip 255.255.0.0 destination_ip 255.255.255.255 udp dst_port 0xFFFF profile_id 5
config access_profile profile_id 5 add access_id 1 ip source_ip 10.9.0.0 destination_ip 82.110.242.2 udp dst_port 53 port 1-23 permit
create access_profile ip source_ip 255.255.0.0 destination_ip 255.255.0.255 icmp profile_id 6
config access_profile profile_id 6 add access_id 1 ip source_ip 10.9.0.0 destination_ip 10.9.0.1 icmp port 1-23 permit
create access_profile ip source_ip 255.255.0.0 destination_ip 255.255.255.255 tcp dst_port 0xFFFF profile_id 7
config access_profile profile_id 7 add access_id 1 ip source_ip 10.8.0.0 destination_ip 82.110.242.2 udp dst_port 53 port 1-23 permit
create access_profile ip source_ip 255.255.0.0 destination_ip 255.255.0.255 icmp profile_id 8
config access_profile profile_id 8 add access_id 1 ip source_ip 10.8.0.0 destination_ip 10.8.0.1 icmp port 1-23 permit
create access_profile ip source_ip 255.255.0.0 destination_ip 255.255.255.255 tcp dst_port 0xFFFF profile_id 9


create access_profile ip source_ip 255.255.0.0 destination_ip 255.255.255.255 tcp dst_port 0xFFFF profile_id 10
config access_profile profile_id 10 add access_id 1 ip source_ip 10.9.0.0 destination_ip 82.110.242.17 tcp dst_port 8081 port 1-23 permit


create access_profile ip source_ip 255.255.0.0 destination_ip 255.255.255.255 tcp dst_port 0xFFFF profile_id 11
config access_profile profile_id 11 add access_id 1 ip source_ip 10.8.0.0 destination_ip 82.110.242.17 tcp dst_port 8081 port 1-23 permit

Вот здесь вопрос, правильно ли я задал маски? Ипы будут менять так 10.9.**.** и 10.8.**.**


Дальше необходимо разрешить только мак DHCP сервера или redBack:
- DHCP 04-11-42-12-02-B6
- RedBack 04-11-28-15-C4-A5

create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF profile_id 12
config access_profile profile_id 12 add access_id 1 ethernet destination_mac 04-11-42-12-02-B6 port 1-23 permit
config access_profile profile_id 12 add access_id 2 ethernet destination_mac 04-11-28-15-C4-A5 port 1-23 permit
config access_profile profile_id 12 add access_id 3 ethernet destination_mac FF-FF-FF-FF-FF-FF port 1-23 permit


Запрещаю все:

create access_profile ethernet destination_mac 00-00-00-00-00-00 profile_id 13
config access_profile profile_id 13 add access_id 1 ethernet destination_mac 00-00-00-00-00-00 port 1-23 deny

create access_profile ip source_ip 0.0.0.0 destination_ip 0.0.0.0 profile_id 14
config access_profile profile_id 14 add access_id 1 ip source_ip 0.0.0.0 destination_ip 0.0.0.0 port 1-23 deny



Пожалуйста укажите на ошибки.

Суть ацла, дать возможность клиентам получить DHCP, обмениваться информацией по ипам 10.8 и 10.9. Разрешить обращаться к макам редбака и dhcp сервера.
Запретить все остальное.
Вернуться наверх
 Профиль  
 
Kras_alex
СообщениеДобавлено: Пн апр 04, 2011 08:28 
Не в сети

Зарегистрирован: Вт июн 22, 2010 18:55
Сообщений: 226
Проблема и вопросы еще все есть.
Вернуться наверх
 Профиль  
 
Kras_alex
СообщениеДобавлено: Вт апр 05, 2011 08:45 
Не в сети

Зарегистрирован: Вт июн 22, 2010 18:55
Сообщений: 226
Если вбивать такие правила которые указаны как выше.
DHCP сервер включен в 25 или 26 порт.
При выполнении ACLа. Начинаю пинговать сам шлюз. И получаю следующую картину.


Код:
C:\Users\admin>ping 10.9.0.1 -t

Обмен пакетами с 10.9.0.1 по с 32 байтами данных:
Ответ от 10.9.0.1: число байт=32 время<1мс TTL=64
Ответ от 10.9.0.1: число байт=32 время<1мс TTL=64
Ответ от 10.9.0.1: число байт=32 время<1мс TTL=64
Ответ от 10.9.0.1: число байт=32 время<1мс TTL=64
Ответ от 10.9.0.1: число байт=32 время<1мс TTL=64
Ответ от 10.9.0.1: число байт=32 время<1мс TTL=64
Ответ от 10.9.0.1: число байт=32 время<1мс TTL=64
Ответ от 10.9.0.1: число байт=32 время<1мс TTL=64
Превышен интервал ожидания для запроса.
Ответ от 10.9.0.1: число байт=32 время<1мс TTL=64
Ответ от 10.9.0.1: число байт=32 время<1мс TTL=64
Ответ от 10.9.0.1: число байт=32 время<1мс TTL=64
Ответ от 10.9.0.1: число байт=32 время<1мс TTL=64
Ответ от 10.9.0.1: число байт=32 время<1мс TTL=64
Ответ от 10.9.0.1: число байт=32 время<1мс TTL=64
Ответ от 10.9.0.1: число байт=32 время<1мс TTL=64
Ответ от 10.9.0.1: число байт=32 время<1мс TTL=64
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Ответ от 10.9.0.1: число байт=32 время=1мс TTL=64
Ответ от 10.9.0.1: число байт=32 время<1мс TTL=64
Ответ от 10.9.0.1: число байт=32 время<1мс TTL=64
Ответ от 10.9.0.1: число байт=32 время<1мс TTL=64
Ответ от 10.9.0.1: число байт=32 время<1мс TTL=64
Ответ от 10.9.0.1: число байт=32 время<1мс TTL=64
Ответ от 10.9.0.1: число байт=32 время<1мс TTL=64
Ответ от 10.9.0.1: число байт=32 время<1мс TTL=64
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Ответ от 10.9.0.1: число байт=32 время=219мс TTL=64
Ответ от 10.9.0.1: число байт=32 время<1мс TTL=64
Ответ от 10.9.0.1: число байт=32 время<1мс TTL=64
Ответ от 10.9.0.1: число байт=32 время<1мс TTL=64
Ответ от 10.9.0.1: число байт=32 время<1мс TTL=64
Ответ от 10.9.0.1: число байт=32 время<1мс TTL=64
Ответ от 10.9.0.1: число байт=32 время<1мс TTL=64
Ответ от 10.9.0.1: число байт=32 время<1мс TTL=64
Ответ от 10.9.0.1: число байт=32 время<1мс TTL=64

Статистика Ping для 10.9.0.1:
    Пакетов: отправлено = 46, получено = 33, потеряно = 13
    (28% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 0мсек, Максимальное = 219 мсек, Среднее = 6 мсек
Control-C
^C
C:\Users\admin>



И так до бесконечности. Проверяю пока только на 3200-28. В чем может быть причина.
Вернуться наверх
 Профиль  
 
Kras_alex
СообщениеДобавлено: Вт апр 05, 2011 08:59 
Не в сети

Зарегистрирован: Вт июн 22, 2010 18:55
Сообщений: 226
Проблема в этом правилах как я понял.

create access_profile ethernet destination_mac 00-00-00-00-00-00 profile_id 9
config access_profile profile_id 9 add access_id 1 ethernet destination_mac 00-00-00-00-00-00 port 1-23 deny

create access_profile ip source_ip 0.0.0.0 destination_ip 0.0.0.0 profile_id 10
config access_profile profile_id 10 add access_id 1 ip source_ip 0.0.0.0 destination_ip 0.0.0.0 port 1-23 deny

Точнее с 10 все работает, с 9 нет. Делаю вывод что значит ошибка где то Выше при написании правил. Ищу дальше.
Вернуться наверх
 Профиль  
 
Kras_alex
СообщениеДобавлено: Вт апр 05, 2011 09:36 
Не в сети

Зарегистрирован: Вт июн 22, 2010 18:55
Сообщений: 226
Проблему нашел. Будут вопросы задам еще)))


з.ы. общение "сам с собой" очень помогает))
Вернуться наверх
 Профиль  
 
Kras_alex
СообщениеДобавлено: Вт апр 05, 2011 10:07 
Не в сети

Зарегистрирован: Вт июн 22, 2010 18:55
Сообщений: 226
Один маленький вопрос:

create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF profile_id 7
config access_profile profile_id 7 add access_id 1 ethernet destination_mac f0-7d-68-50-52-3c port 1-23 permit
config access_profile profile_id 7 add access_id 2 ethernet destination_mac f0-7d-68-50-52-3d port 1-23 permit
config access_profile profile_id 7 add access_id 3 ethernet destination_mac FF-FF-FF-FF-FF-FF port 1-23 permit


create access_profile ethernet destination_mac 00-00-00-00-00-00 profile_id 8
config access_profile profile_id 8 add access_id 1 ethernet destination_mac 00-00-00-00-00-00 port 1-23 deny

У меня стоит мак f0-7d-68-50-52-3f. В его роли стоит запрещенный левый DHCP сервер (25 порт), но ему даже при том что все маки запрещены,кроме двух выше разрешенных, удается общаться с клиентским оборудованием, и клиент пусть хоть и с потерями, может его пинговать????
Вернуться наверх
 Профиль  
 
Alexandr Zaitsev
СообщениеДобавлено: Вт апр 05, 2011 10:13 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow
На каком порту клиент?
Вернуться наверх
 Профиль  
 
Kras_alex
СообщениеДобавлено: Вт апр 05, 2011 10:15 
Не в сети

Зарегистрирован: Вт июн 22, 2010 18:55
Сообщений: 226
Alexandr Zaitsev писал(а):
На каком порту клиент?

1-24. В плане теста был в 19 :)
Вернуться наверх
 Профиль  
 
Kras_alex
СообщениеДобавлено: Вт апр 05, 2011 10:30 
Не в сети

Зарегистрирован: Вт июн 22, 2010 18:55
Сообщений: 226
И еще один сразу вопрос в догонку.


create access_profile packet_content_mask offset1 l2 0 0xffff offset2 l3 6 0x00ff offset3 l4 0 0xffff profile_id 1

config access_profile profile_id 1 add access_id auto_assign packet_content offset1 0x800 offset2 0x0 offset3 0x87 port 1-24,27-28 deny
config access_profile profile_id 1 add access_id auto_assign packet_content offset1 0x800 offset2 0x0 offset3 0x89 port 1-24,27-28 deny
config access_profile profile_id 1 add access_id auto_assign packet_content offset1 0x800 offset2 0x0 offset3 0x8a port 1-24,27-28 deny
config access_profile profile_id 1 add access_id auto_assign packet_content offset1 0x800 offset2 0x0 offset3 0x8b port 1-24,27-28 deny
config access_profile profile_id 1 add access_id auto_assign packet_content offset1 0x800 offset2 0x0 offset3 0x1bd port 1-24,27-28 deny
config access_profile profile_id 1 add access_id auto_assign packet_content offset1 0x800 offset2 0x0 offset3 0x44 port 1-24,27-28 deny




Модель 3028 не понимает такого синтаксиса.
Пробовал так, ошибка в 1 строчке. Никак не могу понять как правильно написать.


create access_profile packet_content_mask offset_1 l2 0 0xffff offset_2 l3 6 0x00ff offset_3 l4 0 0xffff profile_id 1

config access_profile profile_id 1 add access_id auto_assign packet_content offset 1 0x800 offset 2 0x0 offset 3 0x87 port 1-24,27-28 deny
config access_profile profile_id 1 add access_id auto_assign packet_content offset 1 0x800 offset 2 0x0 offset 3 0x89 port 1-24,27-28 deny
config access_profile profile_id 1 add access_id auto_assign packet_content offset 1 0x800 offset 2 0x0 offset 3 0x8a port 1-24,27-28 deny
config access_profile profile_id 1 add access_id auto_assign packet_content offset 1 0x800 offset 2 0x0 offset 3 0x8b port 1-24,27-28 deny
config access_profile profile_id 1 add access_id auto_assign packet_content offset 1 0x800 offset 2 0x0 offset 3 0x1bd port 1-24,27-28 deny
config access_profile profile_id 1 add access_id auto_assign packet_content offset 1 0x800 offset 2 0x0 offset 3 0x44 port 1-24,27-28 deny
Вернуться наверх
 Профиль  
 
Alexandr Zaitsev
СообщениеДобавлено: Вт апр 05, 2011 10:54 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow
Проверил правила, у меня всё отрабатывает нормально. У Вас есть еще какие-то правила кроме profile_id 7 и 8?

Цитата:
Модель 3028 не понимает такого синтаксиса.
Пробовал так, ошибка в 1 строчке. Никак не могу понять как правильно написать.

Всё правильно, на DES-3028 другой синтаксис. Посмотрите мануал, там приводится правильный.
Вернуться наверх
 Профиль  
 
Kras_alex
СообщениеДобавлено: Вт апр 05, 2011 11:02 
Не в сети

Зарегистрирован: Вт июн 22, 2010 18:55
Сообщений: 226
create access_profile packet_content_mask offset1 l2 0 0xffff offset2 l3 6 0x00ff offset3 l4 0 0xffff profile_id 1

config access_profile profile_id 1 add access_id auto_assign packet_content offset1 0x800 offset2 0x0 offset3 0x87 port 1-24,27-28 deny
config access_profile profile_id 1 add access_id auto_assign packet_content offset1 0x800 offset2 0x0 offset3 0x89 port 1-24,27-28 deny
config access_profile profile_id 1 add access_id auto_assign packet_content offset1 0x800 offset2 0x0 offset3 0x8a port 1-24,27-28 deny
config access_profile profile_id 1 add access_id auto_assign packet_content offset1 0x800 offset2 0x0 offset3 0x8b port 1-24,27-28 deny
config access_profile profile_id 1 add access_id auto_assign packet_content offset1 0x800 offset2 0x0 offset3 0x1bd port 1-24,27-28 deny
config access_profile profile_id 1 add access_id auto_assign packet_content offset1 0x800 offset2 0x0 offset3 0x44 port 1-24,27-28 deny

create access_profile ip source_ip 255.255.0.0 destination_ip 255.255.255.255 udp dst_port 0xFFFF profile_id 2
config access_profile profile_id 2 add access_id 1 ip source_ip 10.8.0.0 destination_ip 75.110.243.2 udp dst_port 53 port 1-24 permit
config access_profile profile_id 2 add access_id 1 ip source_ip 10.9.0.0 destination_ip 75.110.243.2 udp dst_port 53 port 1-24 permit

create access_profile ip source_ip 255.255.0.0 destination_ip 255.255.0.255 icmp profile_id 3
config access_profile profile_id 3 add access_id 1 ip source_ip 10.8.0.0 destination_ip 10.8.0.1 icmp port 1-24 permit
config access_profile profile_id 3 add access_id 1 ip source_ip 10.9.0.0 destination_ip 10.9.0.1 icmp port 1-24 permit


create access_profile ip source_ip 255.255.0.0 destination_ip 255.255.255.255 tcp dst_port 0xFFFF profile_id 4
config access_profile profile_id 4 add access_id 1 ip source_ip 10.8.0.0 destination_ip 75.110.243.17 tcp dst_port 8081 port 1-24 permit
config access_profile profile_id 4 add access_id 1 ip source_ip 10.9.0.0 destination_ip 75.110.243.17 tcp dst_port 8081 port 1-24 permit

create access_profile ip source_ip 255.255.0.0 destination_ip 255.255.255.0 igmp type profile_id 5
config access_profile profile_id 5 add access_id 1 ip source_ip 10.9.0.0 destination_ip 255.1.1.0 igmp type 16 port 1-24 permit
config access_profile profile_id 5 add access_id 2 ip source_ip 10.9.0.0 destination_ip 224.0.0.0 igmp type 17 port 1-24 permit
config access_profile profile_id 5 add access_id 3 ip source_ip 10.8.0.0 destination_ip 255.1.1.0 igmp type 16 port 1-24 permit
config access_profile profile_id 5 add access_id 4 ip source_ip 10.8.0.0 destination_ip 224.0.0.0 igmp type 17 port 1-24 permit


create access_profile ip source_ip 0.0.0.0 destination_ip 0.0.0.0 profile_id 6
config access_profile profile_id 6 add access_id 1 ip source_ip 0.0.0.0 destination_ip 0.0.0.0 port 1-24 deny

create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF profile_id 7
config access_profile profile_id 7 add access_id 1 ethernet destination_mac f0-7d-68-50-52-3c port 1-24 permit
config access_profile profile_id 7 add access_id 2 ethernet destination_mac f0-7d-68-50-52-3d port 1-24 permit
config access_profile profile_id 7 add access_id 3 ethernet destination_mac FF-FF-FF-FF-FF-FF port 1-24 permit


create access_profile ethernet destination_mac 00-00-00-00-00-00 profile_id 8
config access_profile profile_id 8 add access_id 1 ethernet destination_mac 00-00-00-00-00-00 port 1-24 deny






Можете кинуть ссыль для мануала на 3028?
Вернуться наверх
 Профиль  
 
Alexandr Zaitsev
СообщениеДобавлено: Вт апр 05, 2011 11:56 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow
Мануал:
ftp://ftp.dlink.ru/pub/Switch/DES-3028- ... Manual.pdf


Профиль 5 не нужен. Всё, что ниже 6-го профиля тоже не нужно.
У Вас и запрещающие и разрешающие правила навалены в перемешку, Вы определитесь, либо Вы разрешаете определенный трафик, а потом запрещаете всё остальное, либо запрещаете определенные трафик, а потом разрешаете всё.
Вернуться наверх
 Профиль  
 
Kras_alex
СообщениеДобавлено: Вт апр 05, 2011 12:52 
Не в сети

Зарегистрирован: Вт июн 22, 2010 18:55
Сообщений: 226
Alexandr Zaitsev писал(а):
Мануал:
ftp://ftp.dlink.ru/pub/Switch/DES-3028- ... Manual.pdf


Профиль 5 не нужен. Всё, что ниже 6-го профиля тоже не нужно.
У Вас и запрещающие и разрешающие правила навалены в перемешку, Вы определитесь, либо Вы разрешаете определенный трафик, а потом запрещаете всё остальное, либо запрещаете определенные трафик, а потом разрешаете всё.

Да Вы правы, ошибся когда копировал.
Сначала идет если смотреть по тому списку, правило 7 => правило 6 => правило 8




create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF profile_id 6
config access_profile profile_id 6 add access_id 1 ethernet destination_mac f0-7d-68-50-52-3c port 1-24 permit
config access_profile profile_id 6 add access_id 2 ethernet destination_mac f0-7d-68-50-52-3d port 1-24 permit
config access_profile profile_id 6 add access_id 3 ethernet destination_mac FF-FF-FF-FF-FF-FF port 1-24 permit

create access_profile ip source_ip 0.0.0.0 destination_ip 0.0.0.0 profile_id 7
config access_profile profile_id 7 add access_id 1 ip source_ip 0.0.0.0 destination_ip 0.0.0.0 port 1-24 deny

create access_profile ethernet destination_mac 00-00-00-00-00-00 profile_id 8
config access_profile profile_id 8 add access_id 1 ethernet destination_mac 00-00-00-00-00-00 port 1-24 deny
Вернуться наверх
 Профиль  
 
Alexandr Zaitsev
СообщениеДобавлено: Вт апр 05, 2011 13:46 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow
Правило 7 запрещает весь трафик. Все последующие правила просто не будут обрабатываться.
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 2 из 2
  [ Сообщений: 29 ]  На страницу Пред.  1, 2

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 327

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB