1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Чт июл 24, 2025 04:12

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 5 из 7
  [ Сообщений: 98 ]  На страницу Пред.  1, 2, 3, 4, 5, 6, 7  След.
  Предыдущая тема | Следующая тема 
Автор Сообщение
Daniil-B
 Заголовок сообщения:
СообщениеДобавлено: Ср ноя 19, 2008 23:11 
Не в сети

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"
snark писал(а):
Daniil-B писал(а):
На данный момент, мне кажется, наиболее оптимальный алгоритм касаемо разрешения конкретного адреса на конкретном порту:
  1. acl - разрешаем arp запрос с данного ip
  2. acl - разрешаем ip запрос с данного ip
  3. acl - запрещаем всё.
  4. port_security c режимом DeleteOnTimeout

а чего говорить? порядок просто идеален ;)

Прилепить и больше не отвечать ...
Вернуться наверх
 Профиль  
 
Dyr
 Заголовок сообщения:
СообщениеДобавлено: Чт ноя 20, 2008 10:27 
Не в сети

Зарегистрирован: Пн сен 18, 2006 11:17
Сообщений: 270
Откуда: SPb
Daniil-B писал(а):
snark писал(а):
Daniil-B писал(а):
Кстати, во втором профиле у тебя косяк .. ;)

в чем именно, если не секрет?

Нет ... всё верно ..
надо бросать пить ...
Но я бы написал немного по другому ...

Ты всё ещё хочешь и проверку маков туда влепить? Не надо, я тебе говорил, это лишний гемор и для клиентов и для нас. Тот порядок, что я тебе кидал, более чем достаточен.
Жаль только, что возникают нюансы при нескольких айпи на порту и работе DHCP...но поскольку DHCP у вас нет, то и нюансов нет, знай себе прописывай разрешающие правила. Сколько там можно-то сделать на 3526?
Вернуться наверх
 Профиль  
 
Daniil-B
 Заголовок сообщения:
СообщениеДобавлено: Чт ноя 20, 2008 11:21 
Не в сети

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"
Цитата:
Ты всё ещё хочешь и проверку маков туда влепить?

Я никогда не говорил, что это обязательно, а вот port_security убережёт тебя от МАС-флуда, дабы не портить таблицу коммутации ...
Цитата:
Сколько там можно-то сделать на 3526?

200 на группу портов из 8 и по 100 на 25-26 порты.
Вернуться наверх
 Профиль  
 
SerjVarshavskiy
 Заголовок сообщения:
СообщениеДобавлено: Чт ноя 20, 2008 11:57 
Не в сети

Зарегистрирован: Пт июн 06, 2008 09:51
Сообщений: 95
Demin Ivan писал(а):
Будет не нервничайте. Я думаю к концу сентябре - начале октября должна выйти.


скажите пожалуйста, вышла прошивка закрывающая... ???
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Чт ноя 20, 2008 12:10 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Вышла. Релиз лежит на ftp.
Вернуться наверх
 Профиль  
 
SerjVarshavskiy
 Заголовок сообщения:
СообщениеДобавлено: Чт ноя 20, 2008 12:19 
Не в сети

Зарегистрирован: Пт июн 06, 2008 09:51
Сообщений: 95
спасибо!

почему-то в Problem Resolved к этому релизу не указано про ...
извиняюсь , точно проблема решена в этой прошивке?
Вернуться наверх
 Профиль  
 
Dyr
 Заголовок сообщения:
СообщениеДобавлено: Чт ноя 20, 2008 12:39 
Не в сети

Зарегистрирован: Пн сен 18, 2006 11:17
Сообщений: 270
Откуда: SPb
Daniil-B писал(а):
Цитата:
Ты всё ещё хочешь и проверку маков туда влепить?

Я никогда не говорил, что это обязательно, а вот port_security убережёт тебя от МАС-флуда, дабы не портить таблицу коммутации ...

Гы, подбивал-подбивал, не отмазывайся ;-) Оно, конечно, так ещё безопаснее, только уже в ущерб удобству становится.
Про port_security я сразу согласился.
Ну и для финального штриха ещё навесить mac_notification.
Цитата:

Цитата:
Сколько там можно-то сделать на 3526?

200 на группу портов из 8 и по 100 на 25-26 порты.

Ээх, разгуляемся! ;-) Пользовательские DHCP, широковещательные ip, мультикасты, NetBIOS...я ничего не забыл? :D


Последний раз редактировалось Dyr Чт ноя 20, 2008 12:55, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Чт ноя 20, 2008 12:50 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Про что не указано?
Вернуться наверх
 Профиль  
 
Dyr
 Заголовок сообщения:
СообщениеДобавлено: Чт ноя 20, 2008 13:22 
Не в сети

Зарегистрирован: Пн сен 18, 2006 11:17
Сообщений: 270
Откуда: SPb
SerjVarshavskiy, у вас там что, в партизанов играют? :D
Вернуться наверх
 Профиль  
 
snark
 Заголовок сообщения:
СообщениеДобавлено: Чт ноя 20, 2008 14:02 
Не в сети

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13
Dyr писал(а):
Ээх, разгуляемся! ;-) Пользовательские DHCP, широковещательные ip, мультикасты, NetBIOS...я ничего не забыл? :D

забыли ... на 3526, если использовать DHCP Relay, вообще можно DHCP пакеты запретить ... совсем! и оно будет работать! т.к. DHCP Relay ходит все видимости ACL ... а, да, еще мультикаст ACL не видит ;) ну а вообще, при разумном распределении правил на 3526 их хватает почти на все ...

Daniil-B писал(а):
Прилепить и больше не отвечать ...

все, молчу ... молчу ... молчу ...

_________________
с уважением, БП
Вернуться наверх
 Профиль  
 
Dyr
 Заголовок сообщения:
СообщениеДобавлено: Чт ноя 20, 2008 14:17 
Не в сети

Зарегистрирован: Пн сен 18, 2006 11:17
Сообщений: 270
Откуда: SPb
snark писал(а):
Dyr писал(а):
Ээх, разгуляемся! ;-) Пользовательские DHCP, широковещательные ip, мультикасты, NetBIOS...я ничего не забыл? :D

забыли ... на 3526, если использовать DHCP Relay, вообще можно DHCP пакеты запретить ... совсем! и оно будет работать! т.к. DHCP Relay ходит все видимости ACL ...

О-о, даже так?? Спасибо!
Кстати, в 3550 версии B54 какая-то странная бага - если клиент шлёт DHCPREQUEST серверу при обновлении своего адреса, то на сервер этот запрос (ip юникастом, ethernet бродкастом) приходит без Options 82. :shock:
Цитата:

а, да, еще мультикаст ACL не видит ;) ну а вообще, при разумном распределении правил на 3526 их хватает почти на все ...

И как тогда?
Вернуться наверх
 Профиль  
 
SerjVarshavskiy
 Заголовок сообщения:
СообщениеДобавлено: Чт ноя 20, 2008 14:52 
Не в сети

Зарегистрирован: Пт июн 06, 2008 09:51
Сообщений: 95
Dyr писал(а):
SerjVarshavskiy, у вас там что, в партизанов играют? :D


ага, щас я распишу эту дырку в форуме )))
Вернуться наверх
 Профиль  
 
snark
 Заголовок сообщения:
СообщениеДобавлено: Чт ноя 20, 2008 14:54 
Не в сети

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13
Код:
# запрещение внутри РРРоЕ:
# РРРоЕ сессия + протокол IP + пакет не фрагментирован + destination порт
create access_profile                                        packet_content_mask offset_16-31 0xffff0000 0x0 0xffff0000 0x0 offset_32-47 0x00ff0000 0x0 0x0 0x0 offset_48-63 0xffff0000 0x0 0x0 0x0 profile_id 1
# 67
config access_profile profile_id 1 add access_id auto_assign packet_content_mask offset_16-31 0x88640000 0x0 0x00210000 0x0 offset_32-47 0x00000000 0x0 0x0 0x0 offset_48-63 0x00430000 0x0 0x0 0x0 port 1-24 deny
# 135
config access_profile profile_id 1 add access_id auto_assign packet_content_mask offset_16-31 0x88640000 0x0 0x00210000 0x0 offset_32-47 0x00000000 0x0 0x0 0x0 offset_48-63 0x00870000 0x0 0x0 0x0 port 1-24 deny
# 137
config access_profile profile_id 1 add access_id auto_assign packet_content_mask offset_16-31 0x88640000 0x0 0x00210000 0x0 offset_32-47 0x00000000 0x0 0x0 0x0 offset_48-63 0x00890000 0x0 0x0 0x0 port 1-24 deny
# 138
config access_profile profile_id 1 add access_id auto_assign packet_content_mask offset_16-31 0x88640000 0x0 0x00210000 0x0 offset_32-47 0x00000000 0x0 0x0 0x0 offset_48-63 0x008a0000 0x0 0x0 0x0 port 1-24 deny
# 139
config access_profile profile_id 1 add access_id auto_assign packet_content_mask offset_16-31 0x88640000 0x0 0x00210000 0x0 offset_32-47 0x00000000 0x0 0x0 0x0 offset_48-63 0x008b0000 0x0 0x0 0x0 port 1-24 deny
# 445
config access_profile profile_id 1 add access_id auto_assign packet_content_mask offset_16-31 0x88640000 0x0 0x00210000 0x0 offset_32-47 0x00000000 0x0 0x0 0x0 offset_48-63 0x01bd0000 0x0 0x0 0x0 port 1-24 deny
# 1900
config access_profile profile_id 1 add access_id auto_assign packet_content_mask offset_16-31 0x88640000 0x0 0x00210000 0x0 offset_32-47 0x00000000 0x0 0x0 0x0 offset_48-63 0x076c0000 0x0 0x0 0x0 port 1-24 deny
# 2869
config access_profile profile_id 1 add access_id auto_assign packet_content_mask offset_16-31 0x88640000 0x0 0x00210000 0x0 offset_32-47 0x00000000 0x0 0x0 0x0 offset_48-63 0x0b350000 0x0 0x0 0x0 port 1-24 deny



# собсно сам PPPoE
create access_profile                                        ethernet ethernet_type        profile_id 2
config access_profile profile_id 2 add access_id auto_assign ethernet ethernet_type 0x8863 port 1-24 permit priority 3 replace_priority replace_dscp_with 25
config access_profile profile_id 2 add access_id auto_assign ethernet ethernet_type 0x8864 port 1-24 permit priority 3 replace_priority replace_dscp_with 25



# протокол IP + пакет не фрагментирован + destination порт
create access_profile                                        packet_content_mask offset_16-31 0xffff0000 0x0 0x00ff0000 0x0 offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 3
# 67
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x00430000 0x0 port 1-24 deny
# 68
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x00440000 0x0 port 1-24 deny
# 135
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x00870000 0x0 port 1-24 deny
# 137
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x00890000 0x0 port 1-24 deny
# 138
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x008a0000 0x0 port 1-24 deny
# 139
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x008b0000 0x0 port 1-24 deny
# 445
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x01bd0000 0x0 port 1-24 deny
# 1900
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x076c0000 0x0 port 1-24 deny
# 2869
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x0b350000 0x0 port 1-24 deny



# тут ARP



# бродкасты
create access_profile                              packet_content_mask offset_0-15 0xffffffff 0xffff0000 0x0 0x0 profile_id 5
config access_profile profile_id 5 add access_id 1 packet_content_mask offset_0-15 0xffffffff 0xffff0000 0x0 0x0 port 1-24 deny



# тут IP адреса



# все в сад :)
create access_profile                              ethernet source_mac 00-00-00-00-00-00 profile_id 7
config access_profile profile_id 7 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-24 deny

насчет необходимости запрещения бродкастов для освобождения одного профиля можно порассуждать, а в остальном - конфиг достаточно рабочий ;)

с мультикастом можно поступать так:
Код:
config igmp_snooping querier vXYZ state enable
config igmp_snooping vXYZ state enable
enable igmp_snooping


config router_ports_forbidden vXYZ add 1-24


config multicast port_filtering_mode 1-24 filter_unregistered_groups


create multicast_range mcast from 224.0.0.0 to 239.255.255.255
config limited_multicast_addr ports 1-24 add multicast_range mcast
config limited_multicast_addr ports 1-24 access deny state enable

где "vXYZ" - клиентский VLAN

3550 на мой взгляд очень гадостная железка ... вместо нее лучше ставить пару 3526, так будет 100% лучше, чем все время натыкаться на те или иные ограничения функционала и глюки ... хорошо что он у меня всего один и мне на его ... м-м-м ... особенности конструкции ... наплевать можно, т.к. после того как выяснилось что это за кака - я его поставил туда где все его особенности вместе с ним и умрут ...

_________________
с уважением, БП
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Чт ноя 20, 2008 14:58 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Ну сейчас с ним уже не так всё плохо кстати!
Вернуться наверх
 Профиль  
 
snark
 Заголовок сообщения:
СообщениеДобавлено: Чт ноя 20, 2008 15:19 
Не в сети

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13
"Слава Богу Вы пришли!"(с)
Иван, для меня имеющееся в 3550 ограничение на кол-во ACL (скорее всего железного характера) навсегда похоронило его как провайдерскую многопортовку :( хотя я, возможно, и пересмотрю свое мнение после того как перестрою сеть под ... э-э-э ... иные методы работы ...

_________________
с уважением, БП
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 5 из 7
  [ Сообщений: 98 ]  На страницу Пред.  1, 2, 3, 4, 5, 6, 7  След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 48

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB