1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Пт июл 25, 2025 02:17

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 3 из 9
  [ Сообщений: 129 ]  На страницу Пред.  1, 2, 3, 4, 5, 6 ... 9  След.
  Предыдущая тема | Следующая тема 
Автор Сообщение
Cold_0
 Заголовок сообщения:
СообщениеДобавлено: Вс ноя 18, 2007 11:14 
Не в сети

Зарегистрирован: Вт авг 22, 2006 13:25
Сообщений: 84
Откуда: Krasnoyarsk
А как быть с 3026? Они то по тупее будут 35xx серии.
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Вс ноя 18, 2007 11:22 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
В этой серии к сожалению так настроить не удастся. ACL нет, и IP-MAC-Port Binding работает только в режиме ARP без блокировки первого ARP пакета. По хорошему в этом случае надо защищаться на узле выше.
Вернуться наверх
 Профиль  
 
Cold_0
 Заголовок сообщения:
СообщениеДобавлено: Вс ноя 18, 2007 14:31 
Не в сети

Зарегистрирован: Вт авг 22, 2006 13:25
Сообщений: 84
Откуда: Krasnoyarsk
тогда получится "пострадают" все кто сидит до узла, который это отфильтрует...
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Вс ноя 18, 2007 17:24 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Именно так.
Вернуться наверх
 Профиль  
 
borcat
 Заголовок сообщения:
СообщениеДобавлено: Вс ноя 18, 2007 23:46 
Не в сети

Зарегистрирован: Чт сен 06, 2007 09:07
Сообщений: 47
Откуда: Москва
Demin Ivan писал(а):
Вот я и говорю про блокировку первого ARP пакета опцией strict при включении функции на порту. А по поводу второго пункта в этом случае слишком много ACL будет использовано.

1) А если ACL через WEB интерфейс прописываются?
2) Я так понял из примера (http://dlink.ru/technical/faq_hub_switch_90.php) что на порт добавляется всего 2 правила на связку. При наличии на порту 1-4 клиентов(привязок), кол-во правил не превысит макс. возможности свича. (поправьте).
3) Можете ли вы привести пример (с занесением в FAQ) команд для свича (типа скрипт) организующих подобную привязку? (я так понимаю, что это будет всем интересно и спасибо скажут)
4) Как будет работать zeroip в случае применения этих правил?

зы: попробовал подобный "ДОС" организовать - берём компьютер, хаб, свич и роутер. Прописываем на свиче привязку для компьютера подключённого через хаб. Проверяем - всё работает. Подключаем к хабу роутер лановским портом и видим на других порта свича ARP "объявление" о 192.168.0.1(условно) от роутера...

_________________
Размер - величина зависящая от обстоятельств...
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Пн ноя 19, 2007 10:33 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
1) Без разницы как ACL прописываются через CLI или чере WEB. Кол-во их при этом будет оинаковое при автоматическом назначении как Вы хотите.

2) Не превысит но при включении этой функции (если бы была такая блокировка при помощи ACL) и использовании стандартных ACL число последних сильно уменьшается. Тем более не совсем однозначно как поступать в ARP режиме.

3) Вот здесь показано http://www.dlink.ru/technical/faq_hub_switch_115.php

4) Также. Пропускать пакеты с sourse IP 0.0.0.0.

Если у Вас будут ещё вопросы пожалуйста перезвоните в офис по телефону 744-00-99 доб.390.
Вернуться наверх
 Профиль  
 
syslog
 Заголовок сообщения:
СообщениеДобавлено: Вс ноя 25, 2007 23:49 
Не в сети

Зарегистрирован: Вс ноя 25, 2007 23:39
Сообщений: 2
Откуда: Moscow
А можно ли наоборот, разрешить arp reply ТОЛЬКО с данного IP:MAC (или с нескольких, если на порту включена "мыльница")?

Прошивка последняя, свитч 3526. функция IP-MAC-Binding включена, клиенты привязаны в ACL-моде. Нагрузка CPU свитчей - около 70%

Дело в том, что некоторые клиенты подставляют в арп-реплае не только шлюз, но целый список ИП (как он у них появляется - это отдельный вопрос, но зарегистрирована подстава МАКа в арп-реплае , от одного ИП - шлюза до нескольких десятков.) Запрещать реплай на каждый важный сервер или шлюз - таблиц не хватит.

Если не сложно, приведите, пожалуйста, расчет битовых масок.
Спасибо.
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Ср ноя 28, 2007 22:09 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Укажите точную версию прошивки пожалуйста. У Вас интерфейс устройства в клиентском VLAN-е или в отдельном?

Можно, как правила напишите. Каких таблиц не хватит не понял? По поводу битовых масок Вы имеете ввиду Packet Content Filtering.
Вернуться наверх
 Профиль  
 
ArDamant
 Заголовок сообщения:
СообщениеДобавлено: Ср дек 05, 2007 07:07 
Не в сети

Зарегистрирован: Вт дек 26, 2006 11:39
Сообщений: 88
Откуда: Красноярск
duzer_r писал(а):
0000 0008c739 eaa600e0 4cd7f2db 08060001
0010 08000604 000200e0 4cd7f2db ac1d8e81

Кусок пакета ответа ARP с зараженной машины. Жирное выделение - тип протокола, красное - тип (ARP reply), синее - IP шлюза. Насколько я понимаю, нужно запретить прохождение пакетов с выделенными байтами на клиентских портах?
По идее правило должно выглядеть так:
create access_profile packet_content_mask offset_16-31 0x0 0x0 0xffff0000 0x0 offset_32-47 0xffffffff 0x0 0x0 0x0 profile_id 1
config access_profile profile_id 1 add access_id 1 packet_content_mask offset_16-31 0x0 0x0 0x00020000 0x0 offset_32-47 0xac1d8e81 0x0 0x0 0x0 port 1 deny

К сожалению, пока проверить нет возможности, абонент уже переустановил систему.


Demin Ivan писал(а):
Именно так. В соответствующих разрядах по которым надо выбирать пакет в маске в профиле поставьте единицы. А уже в правиле поставьте те значения которые должны быть ьв пакеты. Те разряды которые не надо анализировать поставьте в ноль.





вот и я тоже столкнулся с такой проблемой


Иван если не сложно не могли бы вы исправит правило согласно вашим поправкам чтоб оно работало правильно


и еще один вопрос

у меня свичи 3526 стоят на районых узлах за ними тупые, таким образом на одном порту сидят по 20 - 60 человек, будет ли этот acl правильно работать ???
Вернуться наверх
 Профиль  
 
Lebedev Maksim
 Заголовок сообщения:
СообщениеДобавлено: Ср дек 05, 2007 10:26 
Не в сети

Зарегистрирован: Пт авг 10, 2007 11:04
Сообщений: 277
Откуда: Moscow
Да, правило будет корректно работать вне зависимости от количества абонентов на порту.
Вернуться наверх
 Профиль  
 
den68
 Заголовок сообщения:
СообщениеДобавлено: Чт янв 24, 2008 03:29 
Не в сети

Зарегистрирован: Чт июл 29, 2004 00:03
Сообщений: 81
А что скажите про такой пакет ?

--- 8100 00:0f:3d:18:a9:20 > broadcast HexData flow ---
0x0000 _ 0001 0800 0604 0001 00e0 f9b2 e838 c269 _ .............8.i
0x0010 _ d435 00e0 f9b2 e838 c269 d431 4e4f 5449 _ .5.....8.i.1NOTI
0x0020 _ 4659 202a 2048 5454 502f 312e 310d _ FY.*.HTTP/1.1.

или

--- arp 00:1b:11:93:75:9d > broadcast HexData flow ---
0x0000 _ 0001 0800 0604 0001 00e0 f9b2 e838 c269 _ .............8.i
0x0010 _ d425 00c0 9fa6 2b28 c269 d421 4e4f 5449 _ .%....+(.i.!NOTI
0x0020 _ 4659 202a 2048 5454 502f 312e 310d _ FY.*.HTTP/1.1.


Результат, на циско 7204 вся сеть (ИП адреса) прописываеться с маками ее-же интерфейса, апосля чего все встает колом, как это пофиксить ?
00:e0:f9:b2:e8:38 соответсвенно мак инт. циски, исходит от одного корпоративного поганца, ищут что ето уже 4 день :(
все это проходит через 3526

в дальнейшем, когда arp отравлен, пакеты приобретают такой вид:

--- 8100 00:e0:f9:b2:e8:38 > 00:e0:f9:b2:e8:38 HexData flow ---
0x0000 _ 0000 0100 0000 0000 0000 0000 0000 0000 _ ................
0x0010 _ 0000 0000 0000 0000 0000 0000 0000 0000 _ ................
0x0020 _ 0000 0000 0000 0000 0000 0000 0000 0000 _ ................
0x0030 _ 0000 _ ..
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Чт янв 24, 2008 18:44 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
А у Вас IP-MAC-Port Binding не настроен?
Вернуться наверх
 Профиль  
 
den68
 Заголовок сообщения:
СообщениеДобавлено: Пт янв 25, 2008 00:17 
Не в сети

Зарегистрирован: Чт июл 29, 2004 00:03
Сообщений: 81
Demin Ivan писал(а):
А у Вас IP-MAC-Port Binding не настроен?


Прбовали включать, на клиентов сперва 2108, на нем - толку от этой напасти недает. На 3526, после 2108 трафик тегированный приходит, там все маки нет возможности внести на транковом порту.

и еще:

Код:
DES-3526:admin#create arpentry xxx.xxx.212.37 00-1B-11-93-75-9D
Command: create arpentry xxx.xxx.212.37 00-1B-11-93-75-9D

Fail!

DES-3526:admin#
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Пт янв 25, 2008 10:42 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Перезвоните пожалуйста в офис по телефону 744-00-99 доб.390.
Вернуться наверх
 Профиль  
 
KabaH
 Заголовок сообщения:
СообщениеДобавлено: Вс янв 27, 2008 13:15 
Не в сети

Зарегистрирован: Пт фев 23, 2007 00:08
Сообщений: 253
syslog писал(а):
А можно ли наоборот, разрешить arp reply ТОЛЬКО с данного IP:MAC (или с нескольких, если на порту включена "мыльница")?
...
Если не сложно, приведите, пожалуйста, расчет битовых масок.
Спасибо.


Гляньте сюда: viewtopic.php?t=49495&highlight=%D1%81%D0%BA%D1%80%D0%B8%D0%BF%D1%82
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 3 из 9
  [ Сообщений: 129 ]  На страницу Пред.  1, 2, 3, 4, 5, 6 ... 9  След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 31

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB