1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Чт июл 24, 2025 05:45

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 2 из 2
  [ Сообщений: 27 ]  На страницу Пред.  1, 2
  Предыдущая тема | Следующая тема 
Автор Сообщение
replicant
 Заголовок сообщения:
СообщениеДобавлено: Пн июн 30, 2008 11:58 
Не в сети

Зарегистрирован: Пт июн 27, 2008 14:54
Сообщений: 122
snark писал(а):
мысль о том чтобы блокировать тот же netbios не в агрегации а непосредственно на доступе в голову не приходила? ;) 3550 это прекрасно может, перенесите чать правил на него, незачем усложнять конфиг 3852 ...


Это уже давно сделано, откуда собственно и взялся 3550 в моем посте, потому что частью обработки он занимается, но как я уже писал выше его это не напрягает, а вот если все подвесить на 3852, то он сходит с ума.

Вобщем перепрошиваю, а там погляжу.
Вернуться наверх
 Профиль  
 
replicant
 Заголовок сообщения:
СообщениеДобавлено: Пн июн 30, 2008 12:02 
Не в сети

Зарегистрирован: Пт июн 27, 2008 14:54
Сообщений: 122
snark писал(а):
см. выше ... там вообще всего 3 профиля ;)


Профилей 3, а сколько правил? У меня возможно только 5 почему-то!

Да и порт в CPU Interface Filtering я задать не могу, нет его там!

snark писал(а):
create cpu access_profile profile_id 3 ip source_ip_mask 0.0.0.0
config cpu access_profile profile_id 3 add access_id 1 ip source_ip 0.0.0.0 port 1-48 deny


Это конечно против логики ваших доводов, но у меня при введении этого профиля и правила полностью останавливается сеть на клиентах через какое-то время! Объяснения этому факту у меня нет, потому что так быть не должно, но происходит и хоть ты убейся. Поэтому я и хотел уточнить как CPU Interface Filtering влияет на форвардинг клиентских подсетей?
Вернуться наверх
 Профиль  
 
terrible
 Заголовок сообщения:
СообщениеДобавлено: Пн июн 30, 2008 13:23 
Не в сети

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default
Конечно могу ошибаться, но:
Вы уверены, что именно NetBIOS пкеты приводят свич к EXHAUSTET MODE ?
Вернуться наверх
 Профиль  
 
replicant
 Заголовок сообщения:
СообщениеДобавлено: Пн июн 30, 2008 13:59 
Не в сети

Зарегистрирован: Пт июн 27, 2008 14:54
Сообщений: 122
terrible писал(а):
Конечно могу ошибаться, но:
Вы уверены, что именно NetBIOS пкеты приводят свич к EXHAUSTET MODE ?


Не уверен. Он даже без нагрузки в этот режим сам переходит. Пока перепрошил его до Build 3.00.B57 и буду наблюдать.

У меня такое ощущение что дело было в прошивке 4 версии B55.
Вернуться наверх
 Профиль  
 
cmhungry
 Заголовок сообщения:
СообщениеДобавлено: Пн июн 30, 2008 17:29 
Не в сети

Зарегистрирован: Чт сен 15, 2005 00:18
Сообщений: 107
Откуда: SPb
replicant писал(а):
snark писал(а):
см. выше ... там вообще всего 3 профиля ;)


Профилей 3, а сколько правил? У меня возможно только 5 почему-то!

Да и порт в CPU Interface Filtering я задать не могу, нет его там!

snark писал(а):
create cpu access_profile profile_id 3 ip source_ip_mask 0.0.0.0
config cpu access_profile profile_id 3 add access_id 1 ip source_ip 0.0.0.0 port 1-48 deny


Это конечно против логики ваших доводов, но у меня при введении этого профиля и правила полностью останавливается сеть на клиентах через какое-то время! Объяснения этому факту у меня нет, потому что так быть не должно, но происходит и хоть ты убейся. Поэтому я и хотел уточнить как CPU Interface Filtering влияет на форвардинг клиентских подсетей?


Элементарно, Ватсон! Там же арпшки ходят =) Вот как только мы такой фильтр вешаем - арпшки больше и не ходят.

Код:
-- разрешаем ARP
create cpu access_profile ethernet ethernet_type profile_id 1
config cpu access_profile profile_id 1 add access_id 1 ethernet ethernet_type 0x806 permit

-- разрешаем ICMP (чтобы клиенты могли вообще шлюз пинговать)
create cpu access_profile ip icmp profile_id 2
config cpu access_profile profile_id 2 add access_id 1 ip icmp permit

-- разрешаем доступ с определенных ип-адресов, включая OSPF-нейборов вообще-то
create cpu access_profile ip source_ip_mask 255.255.0.0 profile_id 3
config cpu access_profile profile_id 3 add access_id 1 ip source_ip 10.81.0.0 permit
config cpu access_profile profile_id 3 add access_id 2 ip source_ip 10.59.0.0 permit

-- запрещаем вообще все
create cpu access_profile packet_content_mask offset_0-15 0x0 0x0 0x0 0x0 profile_id 4
config cpu access_profile profile_id 4 add access_id 1 packet_content_mask offset_0-15 0x0 0x0 0x0 0x0 deny
Вернуться наверх
 Профиль  
 
replicant
 Заголовок сообщения:
СообщениеДобавлено: Пн июн 30, 2008 21:51 
Не в сети

Зарегистрирован: Пт июн 27, 2008 14:54
Сообщений: 122
cmhungry писал(а):
-- разрешаем ARP
create cpu access_profile ethernet ethernet_type profile_id 1
config cpu access_profile profile_id 1 add access_id 1 ethernet ethernet_type 0x806 permit


Спасибо, это как раз то правило, которое мне было нужно. То что ARP нужен это понятно, но чтобы его блокировало в то время как правила касаются только IP для меня было новостью. В мониторинге коммутатора все ARP клиентов были на месте и честно я не думал, что правило более высокоуровневого протокола влияет на нижние уровни, в частности на канальный, если я правильно понимаю.

Только я не уловил вот про это
Цитата:
-- разрешаем доступ с определенных ип-адресов, включая OSPF-нейборов вообще-то
create cpu access_profile ip source_ip_mask 255.255.0.0 profile_id 3
config cpu access_profile profile_id 3 add access_id 1 ip source_ip 10.81.0.0 permit
config cpu access_profile profile_id 3 add access_id 2 ip source_ip 10.59.0.0 permit


У меня есть один IP, которому я даю доступ примерно таким правилом и вроде бы все.

Код:
create cpu access_profile ip source_ip_mask 255.255.255.255 profile_id 3
config cpu access_profile profile_id 3 add access_id 1 ip source_ip 10.90.90.91 permit


OSPF пока на этом коммутаторе не использую, поэтому для меня видимо это не актуально.
Вернуться наверх
 Профиль  
 
replicant
 Заголовок сообщения:
СообщениеДобавлено: Вт июл 01, 2008 18:20 
Не в сети

Зарегистрирован: Пт июн 27, 2008 14:54
Сообщений: 122
Цитата:
-- запрещаем вообще все
create cpu access_profile packet_content_mask offset_0-15 0x0 0x0 0x0 0x0 profile_id 4
config cpu access_profile profile_id 4 add access_id 1 packet_content_mask offset_0-15 0x0 0x0 0x0 0x0 deny


Это правило убьет весь сетевой обмен! Никакой работы клиентов не будет!

Гадость в итоге эта ваша заливная рыба или мне такой битый достался.

Подготовил коммутатор DES-3852 к отвозу в сервис. Работать невозможно. Глючит, виснет, постоянно перепрыгивает в режим с 100% загрузкой CPU.

Сижу на linux-роутере и наслаждаюсь тишиной на телефоне в саппорте.

Жду, когда привезут DES-3828, может быть он нормально заработает.


Последний раз редактировалось replicant Вт июл 01, 2008 18:41, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Вт июл 01, 2008 18:29 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Я Вам прошивку выслал.

To Vladimir_Gerasimov:

А Вы пробовали версию 4.05-B07?
Вернуться наверх
 Профиль  
 
replicant
 Заголовок сообщения:
СообщениеДобавлено: Вт июл 01, 2008 18:56 
Не в сети

Зарегистрирован: Пт июн 27, 2008 14:54
Сообщений: 122
Demin Ivan писал(а):
Я Вам прошивку выслал.

To Vladimir_Gerasimov:

А Вы пробовали версию 4.05-B07?


Спасибо за прошивку, но коммутатор сегодня "откинул копыта".
Вернуться наверх
 Профиль  
 
Vladimir Gerasimov
 Заголовок сообщения:
СообщениеДобавлено: Вт июл 01, 2008 22:56 
Не в сети

Зарегистрирован: Вт фев 01, 2005 20:22
Сообщений: 351
Откуда: Glazov
Цитата:
To Vladimir_Gerasimov:
А Вы пробовали версию 4.05-B07?
Нет, не пробовал.
И, если можно, на "ты" пожалуйста :oops:
Последняя опробованная мною "четвёртая" версия - 4.01.b47 (как щас помню - специально в воскресенье в 4-5 утра ею занимался - пока нагрузки ещё не было) - результат удручающий - 100% CPU со всеми вытекающими... До этого ещё пробовал 4.00.B28 с тем же эффектом.
Но если вы всё же настоятельно рекомендуете повторить эксперимент с 4.05-B07, я не смогу вам отказать, тем более, что наш студенческий городок изрядно опустел на время каникул. Чем чёрт не шутит - а вдруг с этой версией уже удастся подружиться? :) Присылайте этого Змея Горыныча, биться будем...

На всякий случай ещё раз сообщаю текущие данные моего коммутатора:
Device Type: DES-3828 Fast-Ethernet Switch
Boot PROM Version: Build 0.00.008
Firmware Version: Build 3.00.B59
Hardware Version: 1A1
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Вт июл 01, 2008 23:02 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Конечно! Я тебе прошивку выслал. По настоящему версии R4 до этого были недостаточно стабильны как показала практика. Эта версия наконец имеет должный уровень стабильности.
Вернуться наверх
 Профиль  
 
Vladimir Gerasimov
 Заголовок сообщения:
СообщениеДобавлено: Пт июл 11, 2008 20:11 
Не в сети

Зарегистрирован: Вт фев 01, 2005 20:22
Сообщений: 351
Откуда: Glazov
После двух суток беглого тестирования, вполне могу утверждать, что это действительно стабильная версия, достойная внимания.
Большое спасибо!
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 2 из 2
  [ Сообщений: 27 ]  На страницу Пред.  1, 2

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 79

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB