D-Link • Просмотр темы

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

DES-3200-28 revC1

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 2 из 2

[ Сообщений: 27 ]

На страницу Пред. 1, 2

Предыдущая тема | Следующая тема

Автор

Сообщение

mik0s

Заголовок сообщения: Re: DES-3200-28 revC1

Добавлено: Чт окт 04, 2012 19:04

Зарегистрирован: Пн мар 15, 2010 20:23
Сообщений: 105

А почему я не могу создать 4й профиль?

Код:

DES-3200-28:admin#create access_profile profile_id 4 profile_name Lan ip source_ip_mask 255.255.255.255 destination_ip_mask 255.255.255.240
Command: create access_profile profile_id 4 profile_name Lan ip source_ip_mask 255.255.255.255 destination_ip_mask 255.255.255.240

 No more hardware resource for this operation. 

Fail!  

Три профиля уже используется. Два из них IP, один PCF. Хочу еще один IP профиль добавить.

Вернуться наверх

Artem Kolpakov

Заголовок сообщения: Re: DES-3200-28 revC1

Добавлено: Пт окт 05, 2012 08:22

Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999

Приведите настройки всех access-list

Вернуться наверх

mik0s

Заголовок сообщения: Re: DES-3200-28 revC1

Добавлено: Пт окт 05, 2012 13:49

Зарегистрирован: Пн мар 15, 2010 20:23
Сообщений: 105

В таком состоянии пытаюсь добавить 4й профиль:

Код:

# ACL

create access_profile profile_id 1 profile_name Destination ip destination_ip_mask 0.0.0.0 protocol_id_mask 0xFF user_define_mask 0xFFFF0000 
config access_profile profile_id 1 add access_id 1 ip destination_ip 0.0.0.0 protocol_id 17 user_define 0x35 mask 0xFFFF port 1-28 permit 
config access_profile profile_id 1 add access_id 2 ip destination_ip 0.0.0.0 protocol_id 1 port 25-28 permit 
config access_profile profile_id 1 add access_id 3 ip destination_ip 0.0.0.0 protocol_id 1 port 1-24 permit 
config access_profile profile_id 1 add access_id auto_assign ip protocol_id 17 user_define 0x43 mask 0xFFFF port 1-28 permit 
config access_profile profile_id 1 add access_id auto_assign ip protocol_id 17 user_define 0x44 mask 0xFFFF port 1-28 permit 
config access_profile profile_id 1 add access_id auto_assign ip destination_ip 0.0.0.0 protocol_id 6 user_define 0x87 mask 0xFFFF port 1-24 deny 
config access_profile profile_id 1 add access_id auto_assign ip destination_ip 0.0.0.0 protocol_id 17 user_define 0x87 mask 0xFFFF port 1-24 deny 
config access_profile profile_id 1 add access_id auto_assign ip destination_ip 0.0.0.0 protocol_id 6 user_define 0x89 mask 0xFFFF port 1-24 deny 
config access_profile profile_id 1 add access_id auto_assign ip destination_ip 0.0.0.0 protocol_id 17 user_define 0x89 mask 0xFFFF port 1-24 deny 
config access_profile profile_id 1 add access_id auto_assign ip destination_ip 0.0.0.0 protocol_id 6 user_define 0x8A mask 0xFFFF port 1-24 deny 
config access_profile profile_id 1 add access_id auto_assign ip destination_ip 0.0.0.0 protocol_id 17 user_define 0x8A mask 0xFFFF port 1-24 deny 
config access_profile profile_id 1 add access_id auto_assign ip destination_ip 0.0.0.0 protocol_id 6 user_define 0x8B mask 0xFFFF port 1-24 deny 
config access_profile profile_id 1 add access_id auto_assign ip destination_ip 0.0.0.0 protocol_id 17 user_define 0x8B mask 0xFFFF port 1-24 deny 
config access_profile profile_id 1 add access_id auto_assign ip destination_ip 0.0.0.0 protocol_id 6 user_define 0xB35 mask 0xFFFF port 1-24 deny 
config access_profile profile_id 1 add access_id auto_assign ip destination_ip 0.0.0.0 protocol_id 17 user_define 0xB35 mask 0xFFFF port 1-24 deny 
config access_profile profile_id 1 add access_id auto_assign ip destination_ip 0.0.0.0 protocol_id 6 user_define 0x76C mask 0xFFFF port 1-24 deny 
config access_profile profile_id 1 add access_id auto_assign ip destination_ip 0.0.0.0 protocol_id 17 user_define 0x76C mask 0xFFFF port 1-24 deny 
create access_profile profile_id 2 profile_name PCF packet_content_mask offset_chunk_1 9 0xFFFF offset_chunk_2 3 0xFFFF offset_chunk_3 7 0xFFFF offset_chunk_4 8 0xFFFF0000 
config access_profile profile_id 2 add access_id 100 packet_content offset_chunk_2 0x806 mask 0xFFFF port 1-24 deny 
create access_profile profile_id 3 profile_name Source ip source_ip_mask 255.255.255.255 
config access_profile profile_id 3 add access_id 25 ip source_ip 0.0.0.0 mask 0.0.0.0 port 25-28 permit 
config access_profile profile_id 3 add access_id 99 ip source_ip 0.0.0.0 mask 255.255.255.255 port 1-24 permit 
config access_profile profile_id 3 add access_id 100 ip source_ip 0.0.0.0 mask 0.0.0.0 port 1-24 deny 

Вернуться наверх

Artem Kolpakov

Заголовок сообщения: Re: DES-3200-28 revC1

Добавлено: Пн окт 08, 2012 09:25

Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999

Версия прошивки какая?
У вас что-то напутано с номерами профилей.

Вернуться наверх

mik0s

Заголовок сообщения: Re: DES-3200-28 revC1

Добавлено: Пн окт 08, 2012 12:29

Зарегистрирован: Пн мар 15, 2010 20:23
Сообщений: 105

Firmware: Build 4.00.024

Вернуться наверх

mik0s

Заголовок сообщения: Re: DES-3200-28 revC1

Добавлено: Вт окт 09, 2012 12:06

Зарегистрирован: Пн мар 15, 2010 20:23
Сообщений: 105

Вернуться наверх

mik0s

Заголовок сообщения: Re: DES-3200-28 revC1

Добавлено: Пн окт 22, 2012 14:10

Зарегистрирован: Пн мар 15, 2010 20:23
Сообщений: 105

Уважаемая поддержка что нибудь ответит?

Вернуться наверх

Artem Kolpakov

Заголовок сообщения: Re: DES-3200-28 revC1

Добавлено: Пн окт 22, 2012 14:43

Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999

Обновите прошивку и перепишите правила с учетом того, что начиная с 4.32 назначения профилей следующие:
Profile ID 1 is fixed as Ethernet Profile.
Profile ID 2 is fixed as IP Profile.
Также, ваши правила 1 и 3 профиля вполне можно объединить.

Вернуться наверх

mik0s

Заголовок сообщения: Re: DES-3200-28 revC1

Добавлено: Вт окт 23, 2012 18:53

Зарегистрирован: Пн мар 15, 2010 20:23
Сообщений: 105

Ой, а не поможете объеденить эти два профиля? Чего-то не соображу как

Вернуться наверх

barguzin2

Заголовок сообщения: Re: DES-3200-28 revC1

Добавлено: Вт окт 23, 2012 19:09

Зарегистрирован: Пт май 22, 2009 07:59
Сообщений: 207

Подтверждаю что 4й профиль не создается, даже на 4.32, даже на 4.33

Код:

create access_profile profile_id 1 profile_name ETH ethernet source_mac 00-00-00-00-00-00 ethernet_type
create access_profile profile_id 2 profile_name IP ip protocol_id_mask 0xFF user_define_mask 0xFFFFFFFF
create access_profile profile_id 3 profile_name CLIENT ip source_ip_mask 255.255.255.255 destination_ip_mask 255.255.255.255

Command: create access_profile profile_id 4 packet_content_mask offset_chunk_1 0 0x0

 No more hardware resource for this operation.

Fail!

И еще в третьем профиле в 4.32 нифига не фильтрует, даже если оставить его только один, именно profile_id 3 ip. Указываешь конкретные адреса - один на порту который у клиента, другой любой в интернете - не работает АКЛ и указанные адреса могут обмениваться трафиком. на 4.31 и ниже - фильтрует.

Код:

create access_profile profile_id 3 profile_name CLIENT ip source_ip_mask 255.255.255.255 destination_ip_mask 255.255.255.255
config access_profile profile_id 3 add access_id 1 ip source_ip x.x.x.x  destination_ip y.y.y.y port 1-28 deny

Всего один профиль(не считая дефолтных, в которых видимо и кроется какая-то загадка). Казалось бы совсем простое правило, для верности на все порты - и не работает. И где 4й профиль ??? Заявлена поддержка 4х. Негативу много вокруг С1.

Вернуться наверх

Artem Kolpakov

Заголовок сообщения: Re: DES-3200-28 revC1

Добавлено: Ср окт 24, 2012 09:06

Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999

barguzin2
Когда пишете о проблеме - будьте готовы к тому, что мы будем ее проверять. Ровно в той последовательности и с теми настройками, которые вы указали.
Исходя из вашего описания я проблему подтвердить не могу.

Скрытый текст: показать

Код:

DES-3200-28:admin#res co fo
Command: reset config force_agree

Success.

DES-3200-28:admin#create access_profile profile_id 1 profile_name ETH ethernet s
ource_mac 00-00-00-00-00-00 ethernet_type
Command: create access_profile profile_id 1 profile_name ETH ethernet source_mac 00-00-00-00-00-00 ethernet_type

Success.

DES-3200-28:admin#create access_profile profile_id 2 profile_name IP ip protocol
_id_mask 0xFF user_define_mask 0xFFFFFFFF
Command: create access_profile profile_id 2 profile_name IP ip protocol_id_mask 0xFF user_define_mask 0xFFFFFFFF

Success.

DES-3200-28:admin#create access_profile profile_id 3 profile_name CLIENT ip sour
ce_ip_mask 255.255.255.255 destination_ip_mask 255.255.255.255
Command: create access_profile profile_id 3 profile_name CLIENT ip source_ip_mask 255.255.255.255 destination_ip_mask 255.255.255.255

Success.

DES-3200-28:admin#create access_profile profile_id 4 packet_content_mask offset_
chunk_1 0 0x0
Command: create access_profile profile_id 4 packet_content_mask offset_chunk_1 0 0x0

Success.

DES-3200-28:admin#
DES-3200-28:admin#
DES-3200-28:admin#config access_profile profile_id 3 add access_id 1 ip source_i
p 10.90.90.179 destination_ip 10.90.90.221 port 1-10 deny
Command: config access_profile profile_id 3 add access_id 1 ip source_ip 10.90.90.179 destination_ip 10.90.90.221 port 1-10 deny

Success.

DES-3200-28:admin#

После 4х пакетов переключил хосты в порты 14 и 15:

Код:

ping 10.90.90.221  -t

Обмен пакетами с 10.90.90.221 по 32 байт:

Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Ответ от 10.90.90.221: число байт=32 время<1мс TTL=64
Ответ от 10.90.90.221: число байт=32 время<1мс TTL=64
Ответ от 10.90.90.221: число байт=32 время<1мс TTL=64
Ответ от 10.90.90.221: число байт=32 время<1мс TTL=64

Именно поэтому мы запрашиваем полные конфигурационные файлы коммутаторов с подробным описанием ваших действий для воспроизведения проблемы.

Вернуться наверх

barguzin2

Заголовок сообщения: Re: DES-3200-28 revC1

Добавлено: Ср окт 24, 2012 17:09

Зарегистрирован: Пт май 22, 2009 07:59
Сообщений: 207

Нашел грабли.

Код:

config address_binding ip_mac ports 1-24 ip_inspection enable

Вот по этой команде создается профиль

Код:

Profile ID: 513   Profile name: IMPBv4

MASK on
    Source MAC      : 00-00-00-00-00-00
    Ethernet Type
    Source IP       : 0.0.0.0

и в нем свич делает правила привязок IP-MAC. Так вот видимо этот и другие профили обрабатываются в разных последовательностях в прошивках 4.31 и 4.32
По этой же причине не создается 4й профиль, т.к. 4м по сути является этот Profile ID: 513 Profile name: IMPBv4
Отключив ip_inspection и 4й профиль создается и 3й профиль начинает фильтровать.

Вопрос остается открытым. Конфиг во вложении. В нем отличается АКЛ от вышеприведенного, но суть таже, абонент с адресом 222.222.102.230 на 2м порту работает, хотя стоят явные запрещающие правила и нет разрешающих (есть, но с определенных IP, а работает отовсюду)

Код:

config access_profile profile_id 3 add access_id 102 ip destination_ip 222.222.102.230 mask 255.255.255.255 port 1-26 deny
rofile profile_id 3 add access_id 255 ip source_ip 0.0.0.0 port 1-24 deny

Еще раз уточняю что данная конфигурация фильтрует этого абонента на прошивке 4.31.В008. А на 4.32.В008 фильтрует если второй профиль удалить, а профиль 3 и всего его правила сделать также только profile_id 2.

Используется DHCP Snooping. Или в при его использовании ip_inspection тогда и вовсе не требуется ? В любом случае ip_inspection работает непонятно.

Вложения:

3200-28-C1.txt [37.66 KiB]
Скачиваний: 327

Вернуться наверх

Страница 2 из 2

[ Сообщений: 27 ]

На страницу Пред. 1, 2

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 35

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения