1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Пн июл 28, 2025 00:31

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 2 из 5
  [ Сообщений: 64 ]  На страницу Пред.  1, 2, 3, 4, 5  След.
  Предыдущая тема | Следующая тема 
Автор Сообщение
Hamuul
 Заголовок сообщения:
СообщениеДобавлено: Чт янв 15, 2009 14:12 
Не в сети

Зарегистрирован: Чт дек 18, 2008 13:04
Сообщений: 13
Alexandr Zaitsev писал(а):
Цитата:
Если я в первом правиле разрешил ARP а в последнем заблокировал пакеты с определенного мак адреса то ARP пакеты с этого мака пройдут или все пакеты заблокируются?

Все пакеты пройдут, потому что будет всегда срабатывать первое правило. А вот если правила поменять местами, то всё будет работать норамально, будут блокироваться нелегальные пакеты, а остальные ходить.

Цитата:
Можно ли всетаки разрешить ARP только для конекретных машин, а весь остальной запретить?

Да можно, но тогда машины, от которых запрещены широковещательные пакеты не смогут общаться с другими машинами. Т.е. они смогут отвечать на запросы, но не смогут сами устанавливать соединения.
Еще хочу обратить внимание на одну деталь - фильтры работают только на входящие пакеты, иными словами, если флуд уже пришёл на коммутатор, то вы не сможете запретить его передачу во второй порт (где точка доступа)

Видится решение только через packet_content_filter - отлавливать широковещательные ARP пакеты и смотреть какой ip-адрес они ищут. Если это адрес одного из двух компьютеров, сидящих на точке доступа, то пропускать, иначе - блокировать. Только это может создать трудности в случае, если к этому коммутатору подключены еще клиенты.


Странно, я пробовал первыми правилами забивать блокировку по source и destination мак и все равно броадкастовые пакеты с запрещенными маками проходили в радиоканал, может с синтаксисом чего напутал, проверю.
Коммутатор стоит между сетью и радиоканалом, по сути в него в первый порт подключена сеть, а во второй радиоточка, больше ничего в нем нет, не очень понимаю каким образом машины, от которых запрещены широковещательные пакеты не смогут общаться с другими машинами. Зачем мне видеть в радиоканале следы активного общения двух машин в сети между собой? Или это необходимо для функционирования сети?
Это понятно что фильтруются входящие пакеты, задача как раз в том чтобы ненужный мусор не приходил на коммутатор и соответсвенно дальше, для этого фильрующие правила и нужны насколько я понял.
В целом обычный флуд не особо критичен, канал загибается когда начинается ARP броадкаст флуд на определенный IP, причем часто на 192.168.0.1, поэтому и хочется отрезать весь броадкаст флуд кроме необходимого двум машинам на радиоканале. Машин на радиоканале только 2 и больше пока не планируется, IP 10.221.210.161 и 10.221.210.163 иногда вторая сидит на 10.221.214.163. В коммутатор больше ничего втыкать не будем, он покупался исключительно для защиты радиоканала от ненужного флуда. Каким образом надо настроить packet_content_filter для фильтрации?


Последний раз редактировалось Hamuul Чт янв 15, 2009 14:27, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
den68
 Заголовок сообщения:
СообщениеДобавлено: Чт янв 15, 2009 14:13 
Не в сети

Зарегистрирован: Чт июл 29, 2004 00:03
Сообщений: 81
Спасибо за примеры!
Вернуться наверх
 Профиль  
 
Alexandr Zaitsev
 Заголовок сообщения:
СообщениеДобавлено: Чт янв 15, 2009 18:00 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow
Получается что-то вроде такого:
Код:
create access_profile profile_id 2 packet_content_mask offset_chunk_1 3 0xFFFF offset_chunk_2 10 0xFFFFFFFF
config access_profile profile_id 1 add access_id 1 packet_content offset_chunk_1 0x806 offset_chunk_2 0x0addd2a1 port 1 perm
config access_profile profile_id 1 add access_id 2 packet_content offset_chunk_1 0x806 offset_chunk_2 0x0addd2a3 port 1 perm
config access_profile profile_id 1 add access_id 10 packet_content offset_chunk_1 0x806 port 1 deny


Разрешены запросы адресов 10.221.210.161 и 10.221.210.163
Вернуться наверх
 Профиль  
 
Hamuul
 Заголовок сообщения:
СообщениеДобавлено: Чт янв 15, 2009 19:54 
Не в сети

Зарегистрирован: Чт дек 18, 2008 13:04
Сообщений: 13
Alexandr Zaitsev писал(а):
Получается что-то вроде такого:
Код:
create access_profile profile_id 2 packet_content_mask offset_chunk_1 3 0xFFFF offset_chunk_2 10 0xFFFFFFFF
config access_profile profile_id 1 add access_id 1 packet_content offset_chunk_1 0x806 offset_chunk_2 0x0addd2a1 port 1 perm
config access_profile profile_id 1 add access_id 2 packet_content offset_chunk_1 0x806 offset_chunk_2 0x0addd2a3 port 1 perm
config access_profile profile_id 1 add access_id 10 packet_content offset_chunk_1 0x806 port 1 deny


Разрешены запросы адресов 10.221.210.161 и 10.221.210.163


Спасибо, получается мои правила будут выглядеть следующим образом?
Код:
create access_profile ethernet source_mac ff-ff-ff-ff-ff-ff profile_id 1
config access_profile profile_id 1 add access_id 1 ethernet source_mac 00-15-58-11-09-5b port 1-8 deny

create access_profile ethernet destination_mac ff-ff-ff-ff-ff-ff profile_id 2
config access_profile profile_id 2 add access_id 1 ethernet destination_mac 01-80-c2-00-00-00 port 1-8 deny

create access_profile profile_id 3 packet_content_mask offset_chunk_1 3 0xFFFF offset_chunk_2 10 0xFFFFFFFF
config access_profile profile_id 3 add access_id 1 packet_content offset_chunk_1 0x806 offset_chunk_2 0x0addd2a1 port 1 perm
config access_profile profile_id 3 add access_id 2 packet_content offset_chunk_1 0x806 offset_chunk_2 0x0addd2a3 port 1 perm
config access_profile profile_id 3 add access_id 10 packet_content offset_chunk_1 0x806 port 1 deny

create access_profile ip tcp dst_port_mask 0xffff profile_id 4
config access_profile profile_id 4 add access_id 1 ip tcp dst_port 135 port 1 deny
config access_profile profile_id 4 add access_id 2 ip tcp dst_port 139 port 1 deny
config access_profile profile_id 4 add access_id 3 ip tcp dst_port 445 port 1 deny
config access_profile profile_id 4 add access_id 4 ip tcp dst_port 593 port 1 deny
config access_profile profile_id 4 add access_id 5 ip tcp dst_port 2869 port 1 deny

create access_profile ip udp dst_port_mask 0xffff profile_id 5
config access_profile profile_id 5 add access_id 1 ip udp dst_port 67 port 1 deny
config access_profile profile_id 5 add access_id 2 ip udp dst_port 68 port 1 deny
config access_profile profile_id 5 add access_id 3 ip udp dst_port 137 port 1 deny
config access_profile profile_id 5 add access_id 4 ip udp dst_port 138 port 1 deny
config access_profile profile_id 5 add access_id 5 ip udp dst_port 445 port 1 deny
config access_profile profile_id 5 add access_id 6 ip udp dst_port 1900 port 1 deny

create access_profile ethernet destination_mac ff-ff-ff-ff-ff-ff profile_id 6
config access_profile profile_id 6 add access_id 1 ethernet destination_mac ff-ff-ff-ff-ff-ff port 1 deny

create access_profile ethernet ethernet_type profile_id 7
config access_profile profile_id 7 add access_id 1 ethernet ethernet_type 0x800 port 1 permit

create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 8
config access_profile profile_id 8 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1 deny


Первое и второе блокирует доступ пакетов с и на определенный мак, потом правило на АРП, виндовый броадкаст, запрет ИП броадкаста и т.д. при этом я могу добавлять в первое и второе мак адреса пакетов для блокирования, а в третье разрешенные ИП для АРП?

Блокировать планируется подобный АРП флуд, пример пакета:
Код:
0x0000   FF FF FF FF FF FF 00 15-58 11 09 5B 08 06 00 01   yyyyyy..X..[....
0x0010   08 00 06 04 00 01 00 15-58 11 09 5B 0A DD D6 67   ........X..[.YOg
0x0020   00 00 00 00 00 00 C0 A8-00 01 00 00 00 00 00 00   ......A?........
0x0030   00 00 00 00 00 00 00 00-00 00 00 00               ............


И не очень понимаю для каких целей я вижу подобные броадкастовые пакеты, причем все на один мак:
Код:
0x0000   01 80 C2 00 00 00 00 1E-8C D0 70 19 00 26 42 42   .€A.....??p..&BB
0x0010   03 00 00 00 00 00 80 00-00 1E 8C D0 70 19 00 00   ......€...??p...
0x0020   00 00 80 00 00 1E 8C D0-70 19 80 01 00 00 14 00   ..€...??p.€.....
0x0030   02 00 00 00 A5 A5 A5 A5-A5 A5 A5 A5               ....????????
Вернуться наверх
 Профиль  
 
gsg
 Заголовок сообщения:
СообщениеДобавлено: Чт янв 15, 2009 21:56 
Не в сети

Зарегистрирован: Чт ноя 27, 2008 17:56
Сообщений: 22
Спасибо, настройки реально работают, проверено!
Стесняюсь спросить: а что это за порт - port 1900 ?
Вернуться наверх
 Профиль  
 
svsh1990
 Заголовок сообщения:
СообщениеДобавлено: Чт янв 15, 2009 21:59 
Не в сети

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль
gsg писал(а):
Спасибо, настройки реально работают, проверено!
Стесняюсь спросить: а что это за порт - port 1900 ?

http://en.wikipedia.org/wiki/List_of_TC ... rt_numbers ?

_________________
LiveComm
Вернуться наверх
 Профиль  
 
Alexandr Zaitsev
 Заголовок сообщения:
СообщениеДобавлено: Пт янв 16, 2009 10:17 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow
Цитата:
Спасибо, получается мои правила будут выглядеть следующим образом?

Да, похоже.
Цитата:
Первое и второе блокирует доступ пакетов с и на определенный мак, потом правило на АРП, виндовый броадкаст, запрет ИП броадкаста и т.д. при этом я могу добавлять в первое и второе мак адреса пакетов для блокирования, а в третье разрешенные ИП для АРП?

Да
Цитата:
Блокировать планируется подобный АРП флуд, пример пакета:

Такие пакеты будут блокироваться правилом, что я приводил в своем прошлом посте,
Код:
config access_profile profile_id 3 add access_id 10 packet_content offset_chunk_1 0x806 port 1 deny

Отдельные правила для него не нужны.
Цитата:
И не очень понимаю для каких целей я вижу подобные броадкастовые пакеты, причем все на один мак:

Это STP
Вернуться наверх
 Профиль  
 
vlad-cableman
 Заголовок сообщения:
СообщениеДобавлено: Пт янв 16, 2009 19:31 
Не в сети

Зарегистрирован: Вт апр 29, 2008 09:58
Сообщений: 80
Откуда: Норильск
Можно маленький вопрос Hamuul?
А зачем вам:
Код:
create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 8
config access_profile profile_id 8 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1 deny
?
Это правило, случаем, не убьет весь входящий траф на порту 1?
Вернуться наверх
 Профиль  
 
svsh1990
 Заголовок сообщения:
СообщениеДобавлено: Пт янв 16, 2009 21:43 
Не в сети

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль
2 vlad-cableman: убьёт.

_________________
LiveComm
Вернуться наверх
 Профиль  
 
Dima G.
 Заголовок сообщения:
СообщениеДобавлено: Сб янв 17, 2009 06:25 
Не в сети

Зарегистрирован: Пн сен 27, 2004 12:16
Сообщений: 1978
Откуда: Москва
Hamuul писал(а):
Каким образом следует указать правила для блокирования ARP броадкаста со всех машин кроме двух подключеных во 2 порт, допустим с IP 10.20.30.40 и 10.20.30.41 и мак адресами 11-22-33-44-55-66 и 11-22-33-44-77 сответсвенно, возможно ли это?

Непонятно. Вы хотите блокировать ARP броадкаст со всех машин кроме двух на порту 2, но при этом пишете, что в этом порту и так две машины. Наверное, речь идет все же о блокировании ARP броадкастовых пакетов НА порт 2 С порта 1, чтобы в радиоканал на валилось много "мусора". Верно?
Тогда да, можно. Для этого в своем первом профиле сделайте так:
Код:
create access_profile ethernet ethernet_type source_mac FF-FF-FF-FF-FF-FF profile_id 1
config access_profile profile_id 1 add access_id auto_assign ethernet ethernet_type 0x806 source_mac 11-22-33-44-55-66 port 1 permit
config access_profile profile_id 1 add access_id auto_assign ethernet ethernet_type 0x806 source_mac 11-22-33-44-55-77 port 1 permit

Данные правила разрешат ARP с указанных МАКов. Шестой же Ваш профиль заблокирует весь остальной броадкаст, ключая ARP.

Вот еще пример правила, которое у меня. Оно разрешает исходящие ARP с любых адресов порта 9, но пропускает только те, где спрашивают конретный IP адрес машины. Более того, приоритет этих пакетов самый низкий, а полоса пропускания ограничена параметром 1. Судя по возможным данным rx_rate (<value 1-156249>) и скорости порта в 1000МБит, получается, что я разрешил ARP в размере 1/156249 максимальной скорости порта, т.е. всего 6,4Кбита.
Вот, собственно, правило:
Код:
create access_profile profile_id 9 packet_content_mask offset_chunk_1 0 0xFFFF offset_chunk_2 1 0xFFFFFFFF offset_chunk_3 3 0xFFFF offset_chunk_4 10 0xFFFFFFFF
config access_profile profile_id 9 add access_id 1 packet_content offset_chunk_1 0xFFFF offset_chunk_2 0xFFFFFFFF offset_chunk_3 0x806 offset_chunk_4 0xA4837F2  port 9 permit priority 1 rx_rate 1

В Вашем случае это будет port 1, а вместо 0xA4837F2 укажете опрашиваемые IP в 16-ричном формате. У меня 0xA4837F2 - это 10.72.55.242 (0A=10, 48=72, 37=55, F2=242). У Вас это будет 0xA141E28 для IP адреса 10.20.30.40. Для второго IP аналогично посчитаете и сделаете правило.


Упс, написал свои примеры и не заметил, что ответ уже дан на другой странице :D По сути, мои правила, основанные на packet_content_mask точь-в-точь, как дал Александр, только в моем правиле еще идет проверка, что МАК-адрес броадкастовый,+приоритет пониженный дается пакетам+ограничение полосы на ARP.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)
Вернуться наверх
 Профиль  
 
den68
 Заголовок сообщения:
СообщениеДобавлено: Сб янв 17, 2009 12:47 
Не в сети

Зарегистрирован: Чт июл 29, 2004 00:03
Сообщений: 81
Вот с такими настройками, часть клиентов из разных подсетей не всегда/неможет получить ип по dhcp. При этом средний процент терпил = 10.

все порты тегированные, 24 мастер там dhcp, остальные клиенты:

create access_profile profile_id 1 ip udp dst_port_mask ffff
create access_profile profile_id 2 ip tcp dst_port_mask ffff
create access_profile profile_id 3 ip udp src_port_mask ffff
config access_profile profile_id 1 add access_id 1 ip udp dst_port 137 ports 1:(8-24) deny
config access_profile profile_id 2 add access_id 2 ip tcp dst_port 135 ports 1:(8-24) deny
config access_profile profile_id 1 add access_id 3 ip udp dst_port 445 ports 1:(8-24) deny
config access_profile profile_id 2 add access_id 4 ip tcp dst_port 445 ports 1:(8-24) deny
config access_profile profile_id 1 add access_id 5 ip udp dst_port 138 ports 1:(8-24) deny
config access_profile profile_id 2 add access_id 6 ip tcp dst_port 593 ports 1:(8-24) deny
config access_profile profile_id 1 add access_id 7 ip udp dst_port 1900 ports 1:(8-24) deny
config access_profile profile_id 2 add access_id 8 ip tcp dst_port 139 ports 1:(8-24) deny
config access_profile profile_id 2 add access_id 9 ip tcp dst_port 2869 ports 1:(8-24) deny
config access_profile profile_id 2 add access_id 10 ip tcp dst_port 137 ports 1:(8-24) deny
config access_profile profile_id 3 add access_id 11 ip udp src_port 67 ports 1:24 permit
config access_profile profile_id 3 add access_id 12 ip udp src_port 67 ports 1:(8-23) deny
config access_profile profile_id 3 add access_id 13 ip udp src_port 68 ports 1:24 permit
config access_profile profile_id 3 add access_id 14 ip udp src_port 68 ports 1:(8-23) deny


Device Type DGS-3100-24TG ST
Firmware Version 2.50.34
Hardware Version 00.01.04
Serial Number F3Q3185000089
Boot version 1.0.0.04
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Сб янв 17, 2009 16:49 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Пришлите пожалуйста схему сегмента сети с указанием портов подключения и конфиг устройства.
Вернуться наверх
 Профиль  
 
den68
 Заголовок сообщения:
СообщениеДобавлено: Сб янв 17, 2009 20:47 
Не в сети

Зарегистрирован: Чт июл 29, 2004 00:03
Сообщений: 81
Demin Ivan писал(а):
Пришлите пожалуйста схему сегмента сети с указанием портов подключения и конфиг устройства.


Отослал ...
Вернуться наверх
 Профиль  
 
Hamuul
 Заголовок сообщения:
СообщениеДобавлено: Пн янв 19, 2009 10:11 
Не в сети

Зарегистрирован: Чт дек 18, 2008 13:04
Сообщений: 13
vlad-cableman писал(а):
Можно маленький вопрос Hamuul?
А зачем вам:
Код:
create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 8
config access_profile profile_id 8 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1 deny
?
Это правило, случаем, не убьет весь входящий траф на порту 1?

Все правильно, правило убивает весь траффик входящий в первый порт кроме разрешенного, поэтому оно и идет последним.

Цитата:
Непонятно. Вы хотите блокировать ARP броадкаст со всех машин кроме двух на порту 2, но при этом пишете, что в этом порту и так две машины. Наверное, речь идет все же о блокировании ARP броадкастовых пакетов НА порт 2 С порта 1, чтобы в радиоканал на валилось много "мусора". Верно?

Не совсем так, для второго порта никакие ограничивающие правила не пишутся, но если не разрешить ARP для машин воткнутых во второй порт на первом то как я понимаю запрос во второй порт от них будет проходить и перенаправляться в первый, а ответ из первого порта к ним будет блокироваться, и работать ничего не будет. Правила фильтруют входящий траффик, а так как "мусор" валится с 1 порта то все правила пишутся для него. Задача и была пропускать в 1 порт только траффик адрессованный машинам воткнутым во 2 порт.

Alexandr Zaitsev, огромное спасибо за помощь с настройкой, правила прописал, все работает нормально. Интернет коннектится, торрент качает/раздает на максимальной скорости канала, сетевое радио тоже работает без проблем. Еще осталось DC++ проверить и в перспективе IPTV прописать, но это не критично. Самая главная задача это обеспечить стабильную работу радиоканала, а вместе с ним и интернета, время покажет как будет работать в долгосрочной перспективе.
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Пн янв 19, 2009 12:41 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Рад слышать!
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 2 из 5
  [ Сообщений: 64 ]  На страницу Пред.  1, 2, 3, 4, 5  След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 43

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB