faq обучение настройка
Текущее время: Сб июл 12, 2025 00:02

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 66 ]  На страницу Пред.  1, 2, 3, 4, 5  След.
Автор Сообщение
 Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32
СообщениеДобавлено: Сб окт 13, 2012 09:44 
Не в сети

Зарегистрирован: Чт апр 24, 2008 11:50
Сообщений: 335
artemn писал(а):
Завалил DES-3200-26 C1 FW 4.32.B007

Выполнив 2 раза команду:

Код:
create access_profile profile_id 1 profile_name 1 ethernet source_mac 000000000000


Подтверждаю. Только параметры профиля другие и имя я не задавал.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32
СообщениеДобавлено: Пн окт 15, 2012 09:14 
Не в сети

Зарегистрирован: Пн дек 20, 2010 03:17
Сообщений: 206
Up


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32
СообщениеДобавлено: Пн окт 15, 2012 09:38 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
По поводу зависания после настройки acl - исправление будет в первых числах ноября.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32
СообщениеДобавлено: Пн окт 15, 2012 11:52 
Не в сети

Зарегистрирован: Вс мар 07, 2004 17:01
Сообщений: 125
Нам нужно запретить на определенных портах некоторый UDP-порт, а также разрешить только ограниченный список ethertype-ов. Создаем профили:
Код:
create access_profile profile_id 100 ip udp src_port_mask 0xFFFF
create access_profile profile_id 110 ethernet ethernet_type
create access_profile profile_id 120 ethernet source_mac 00-00-00-00-00-00


Профиль 120 нужен, чтобы там можно было заdeny-ить весь трафик, который по ethertype-ам не попал в 110. Но при попытке создать его получаем
Код:
No more hardware resource for this operation.


Как быть?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32
СообщениеДобавлено: Пн окт 15, 2012 13:02 
Не в сети

Зарегистрирован: Пн дек 20, 2010 03:17
Сообщений: 206
Artem Kolpakov писал(а):
По поводу зависания после настройки acl - исправление будет в первых числах ноября.


А по этому поводу:

Цитата:
По поводу ограничений - давайте дождемся ответа ШК.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32
СообщениеДобавлено: Пн окт 15, 2012 13:54 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
По поводу ограничений никаких фиксов и не будет. Информацию предоставлю, как только получу.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32
СообщениеДобавлено: Пн окт 15, 2012 14:13 
Не в сети

Зарегистрирован: Вт дек 01, 2009 09:02
Сообщений: 56
Olegz писал(а):
Нам нужно запретить на определенных портах некоторый UDP-порт, а также разрешить только ограниченный список ethertype-ов. Создаем профили:
Код:
create access_profile profile_id 100 ip udp src_port_mask 0xFFFF
create access_profile profile_id 110 ethernet ethernet_type
create access_profile profile_id 120 ethernet source_mac 00-00-00-00-00-00


Профиль 120 нужен, чтобы там можно было заdeny-ить весь трафик, который по ethertype-ам не попал в 110. Но при попытке создать его получаем
Код:
No more hardware resource for this operation.


Как быть?

В принципе вашу задачу через pcf решить можно одним профилем, как то так:
create access_profile profile_id 4 profile_name 4 packet_content_mask offset_chunk_1 6 0xFF0000 offset_chunk_2 9 0xFFFF offset_chunk_3 3 0xFFFF
config access_profile profile_id 4 add access_id 10 packet_content offset_chunk_1 0x110000 mask 0xFF0000 offset_chunk_2 0x87 mask 0xFFF port 1 deny
config access_profile profile_id 4 add access_id 50 packet_content offset_chunk_3 0x8863 mask 0xFFFF port 1 deny

офсет 1 - протокол, офсет 2 - порт, офсет 3 - тип
создаем
блокируем 135 порт udp
блокируем PADI/PADO PPPoE


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32
СообщениеДобавлено: Пн окт 15, 2012 14:20 
Не в сети

Зарегистрирован: Вт дек 01, 2009 09:02
Сообщений: 56
Artem Kolpakov писал(а):
По поводу ограничений никаких фиксов и не будет. Информацию предоставлю, как только получу.

Спрашивал выше....

Не по ограничениям, а по функционалу таких фич как DHCP Screening например (будут ли текущие профиль 1 и 2 задействованы под DHCP Screening - не понятно для чего фичу в отдельный профайл вынесли которых и так 4), такой же вопрос и про ipmbv4 в loose.

Будут ли первый и второй профиль использоваться под функционал который ранее выносился в отдельные профили?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32
СообщениеДобавлено: Пн окт 15, 2012 14:59 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Да, так как на коммутаторе всего 4 аппаратных профиля под acl.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32
СообщениеДобавлено: Ср окт 17, 2012 11:38 
Не в сети

Зарегистрирован: Вс янв 10, 2010 23:34
Сообщений: 59
Получили новую партию 3200-26 С1, 120 штук, так как у нас в сети вся настройка автоматизирована через СНМП. Потратили 4 дня, реализовали поддержку мибов для конкретной модели. Порезали количество профайлов для АЦЛ до 4. Основное вроде всунули. Потом перешились на новую прошивку посмотреть что там, и теперь поняли что профилей правил только 2, а первыми 2 как пользоваться, пока не описано, и не понятны ограничения и подводные камни. Нам лучше остаться на 4.00 (что идет в самих коммутаторах с завода), или там другие проблемы утопят использование данной модели? Первые 2 профиля через снмп не хотят создаваться, через консоль все ок. Можно прокомментировать:

snmpset -v2c -c SomeComunity 10.255.204.30 .1.3.6.1.4.1.171.12.9.2.1.1.7.1 i 1 .1.3.6.1.4.1.171.12.9.2.1.1.8.1 i 4
Error in packet. Reason: inconsistentValue (The set value is illegal or unsupported in some way)
Failed object: SNMPv2-SMI::enterprises.171.12.9.2.1.1.8.1

А как тогда в снмп использовать эти 2 профиля.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32
СообщениеДобавлено: Ср окт 17, 2012 12:56 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
К сожалению, огорчу всех здесь присутствующих.
Информацию о системных acl разработчики не предоставят. Также не будет описания ограничений 1 и 2 профиля.

При всех проблемах, возникающих с использованием 1 и 2 профиля acl на DES-3200 rev.C1 , пишите на форуме и нам на почту, мы в свою очередь будем выяснять, является ли это ограничением или ошибкой.

Надеюсь на понимание, спасибо.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32
СообщениеДобавлено: Ср окт 17, 2012 13:48 
Не в сети

Зарегистрирован: Пт май 22, 2009 07:59
Сообщений: 207
Есть свичи DES-3200-26
Код:
Firmware Version           : Build 4.32.B008
Hardware Version           : C1


Есть ACL
Код:
create access_profile profile_id 1 profile_name ETH ethernet source_mac 00-00-00-00-00-00 ethernet_type
config access_profile profile_id 1 add access_id 11 ethernet ethernet_type 0x806 port 1-26 permit
config access_profile profile_id 1 add access_id 12 ethernet ethernet_type 0x9000 port 1-26 permit
config access_profile profile_id 1 add access_id 13 ethernet ethernet_type 0x86DD port 1-26 deny
config access_profile profile_id 1 add access_id 200 ethernet source_mac 00-00-00-00-00-00 port 25-26 permit
create access_profile profile_id 2 profile_name IP ip protocol_id_mask 0xFF user_define_mask 0xFFFFFFFF
config access_profile profile_id 2 add access_id 21 ip protocol_id 17 user_define 0x43 mask 0xFFFF port 1-24 permit
config access_profile profile_id 2 add access_id 22 ip protocol_id 17 user_define 0x89 mask 0xFFFF port 1-24 deny
config access_profile profile_id 2 add access_id 23 ip protocol_id 17 user_define 0x8A mask 0xFFFF port 1-24 deny
config access_profile profile_id 2 add access_id 24 ip protocol_id 17 user_define 0x76C mask 0xFFFF port 1-24 deny
config access_profile profile_id 2 add access_id 25 ip protocol_id 6 user_define 0x87 mask 0xFFFF port 1-24 deny
config access_profile profile_id 2 add access_id 26 ip protocol_id 6 user_define 0x8B mask 0xFFFF port 1-24 deny
config access_profile profile_id 2 add access_id 27 ip protocol_id 6 user_define 0x1BD mask 0xFFFF port 1-24 deny
create access_profile profile_id 3 profile_name CLIENT ip source_ip_mask 0.0.0.0 destination_ip_mask 0.0.0.0
config access_profile profile_id 3 add access_id 31 ip destination_ip 10.0.0.0 mask 255.0.0.0 port 1-24 deny
config access_profile profile_id 3 add access_id 32 ip destination_ip 172.16.0.0 mask 255.224.0.0 port 1-24 deny
config access_profile profile_id 3 add access_id 33 ip destination_ip 192.168.0.0 mask 255.255.0.0 port 1-24 deny
config access_profile profile_id 3 add access_id 41 ip source_ip x.x.1.2 mask 255.255.255.255 port 25-26 permit
config access_profile profile_id 3 add access_id 51 ip destination_ip x.x.1.2 mask 255.255.255.255 port 1-24 permit
config access_profile profile_id 3 add access_id 201 ip source_ip x.x.102.198 mask 255.255.255.255 port 1 permit
config access_profile profile_id 3 add access_id 202 ip source_ip x.x.102.199 mask 255.255.255.255 port 2 permit
config access_profile profile_id 3 add access_id 255 ip source_ip 0.0.0.0 mask 0.0.0.0 port 1-24 deny


Логика такая - разрешаю АРПы и LoopDetect, запрещаю IPv6 в первом профиле, запрещаю всякие порты во втором и в 3м идёт запрет серых сетей, разрешаем доступ в ЛК даже при блокировке (адрес х.х.1.2), управление доступом в инет для клиентов. Такое ощущение что 3й профиль вообще не работает.
Удаляю из него access_id 201 юзер на первом порту, а он всё равно работает. если добавить
Код:
config access_profile profile_id 1 add access_id 255 ethernet source_mac 00-00-00-00-00-00 port 1-24 deny

то ни у кого ничего не работает, даже ЛК. Что делаю не так и можете объяснить популярно как все-таки выбирается применяемое правило и как лучше составить полный список ACL в данном случае.

P.S. Включен DHCP Snooping, судя по show access_profile создает Profile ID: 513 Profile name: IMPBv4 для привязок. Он какой приоритет имеет ?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32
СообщениеДобавлено: Ср окт 17, 2012 21:04 
Не в сети

Зарегистрирован: Вс янв 10, 2010 23:34
Сообщений: 59
Для себя переделали все правила под PCF и теперь хватило одного access_profile с кучей правил которые для разных чанков еще и дополнительно используют mask на каждый чанк. Там удалось совместить: пропустить нужные протоколы, заблокировать броадкасты/мултикасты, потом для айпи закрыть порты (для тсп и удп разные), дхцп экранировать сервера, и отбрасывать исмп редиректы (пока нужно). По СНМП все получилось заливать нормально. Так что пока оставляем партию начнем ставить на сеть, уже посмотрим как в реалии будет.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32
СообщениеДобавлено: Чт окт 18, 2012 19:09 
Не в сети

Зарегистрирован: Пт май 22, 2009 07:59
Сообщений: 207
Код:
Firmware Version           : Build 4.32.B006
Hardware Version           : C1

Нда. есть один профиль Ethernet и два IP (см. выше). Всего 3 профиля. Больше не даёт создать ни ETH, ни IP
Код:
DES-3200-26:admin#create access_profile profile_id 4 ip source_ip_mask 0.0.0.0
Command: create access_profile profile_id 4 ip source_ip_mask 0.0.0.0

 No more hardware resource for this operation.

Fail!


Код:
DES-3200-26:admin#create access_profile profile_id 4 ethernet source_mac 00-00-0
0-00-00-00
Command: create access_profile profile_id 4 ethernet source_mac 00-00-00-00-00-00

 No more hardware resource for this operation.

Fail!


Хотя заявлено что максимум 4 профиля, из них максимум ETH или IP может быть 3. Что вообще за бред то происходит ?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32
СообщениеДобавлено: Чт окт 18, 2012 19:12 
Не в сети

Зарегистрирован: Вт дек 01, 2009 09:02
Сообщений: 56
Artem Kolpakov писал(а):
К сожалению, огорчу всех здесь присутствующих.
Информацию о системных acl разработчики не предоставят. Также не будет описания ограничений 1 и 2 профиля.

При всех проблемах, возникающих с использованием 1 и 2 профиля acl на DES-3200 rev.C1 , пишите на форуме и нам на почту, мы в свою очередь будем выяснять, является ли это ограничением или ошибкой.

Надеюсь на понимание, спасибо.


Ну как я уже прокомментировал - зашебись...
Артем сообщите, пожалуйста, когда будет заверена работа по переводу фич имеющих свой профайл (dhcp screening etc) в первые-второй профайлы...


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 66 ]  На страницу Пред.  1, 2, 3, 4, 5  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 74


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB