D-Link • Просмотр темы

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

ACL 3028 offset ?

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 1

[ Сообщений: 15 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

Valeriy-kww

Заголовок сообщения: ACL 3028 offset ?

Добавлено: Вт авг 25, 2009 17:47

Зарегистрирован: Чт дек 18, 2008 09:10
Сообщений: 117
Откуда: Украина

Добрый день ...
Ткните носом где ошибка
Делаю по FAQ http://www.dlink.ru/ru/faq/62/252.html
применительно к IP - 10.0.0.192 порт свитча - 1

Код:

create access_profile packet_content_mask offset_0-15  0x0 0x0 0x0 0xFFFF0000 offset_16-31 0x0 0xF0000 0x0 0xFFFFFFFF profile_id 10
config access_profile profile_id 10 add access_id 1 packet_content offset 12 0x08060000 offset 20 0x10000 offset 28 0xA0000C0 port 1 permit
---
create access_profile packet_content_mask offset_0-15 0x0 0x0 0x0 0xFFFF0000 offset_16-31 0x0 0xF0000 0x0 0x0 profile_id 20
config access_profile profile_id 20 add access_id 2 packet_content offset 12 0x8060000 offset 20 0x10000 port 1 deny

Не работает ... Пропускает любой IP ..

Последний раз редактировалось Valeriy-kww Вт авг 25, 2009 22:00, всего редактировалось 1 раз.

Вернуться наверх

KabaH

Заголовок сообщения:

Добавлено: Вт авг 25, 2009 18:28

Зарегистрирован: Пт фев 23, 2007 00:08
Сообщений: 253

Пример приведен для 35xx серии, а у нее резервируются даже в нетегированом пакете 4 байта под dot1q метку. В 3028 этого резервирования нет, поэтому offset сдвигается.

Вернуться наверх

Valeriy-kww

Заголовок сообщения:

Добавлено: Вт авг 25, 2009 18:38

Зарегистрирован: Чт дек 18, 2008 09:10
Сообщений: 117
Откуда: Украина

Я это учел, offset cдвинут ...
Прошивка свитча ..
Boot PROM Version : Build 1.00-B05
Firmware Version : Build 2.30.B08

Последний раз редактировалось Valeriy-kww Вт авг 25, 2009 19:09, всего редактировалось 1 раз.

Вернуться наверх

svsh1990

Заголовок сообщения:

Добавлено: Вт авг 25, 2009 21:18

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль

Valeriy-kww писал(а):

Я это учел, offset cдвинут ...
Прошивка свитча ..
Boot PROM Version : Build 1.00-B05
Firmware Version : Build 2.30.B08

если пакет нетегированный - то offset учитывать не надо!

_________________
LiveComm

Вернуться наверх

Valeriy-kww

Заголовок сообщения:

Добавлено: Вт авг 25, 2009 21:59

Зарегистрирован: Чт дек 18, 2008 09:10
Сообщений: 117
Откуда: Украина

Совершенно верно. Тут смещение на 4 байта не учитывается (посмотрите код).
Вопрос заключается в следующем: почему при фильтрации ARP
запросов свитч продолжает коммутировать пакеты от данного источника ? Может я неправильно построил фильтр ?
Попутно второй вопрос IMB в режиме ACL должно быть видно при просмотре самих ACL ??

Вернуться наверх

svsh1990

Заголовок сообщения:

Добавлено: Ср авг 26, 2009 06:45

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль

Valeriy-kww писал(а):

к самому свитчу ACL не относится. только на проходящий мимо трафик.
для фильтрации доступа к интерфейсу свитча есть такая фича как CPU interface filtering. А вообще - по сути для ограничения доступа хватает management vlan и trusted hosts.

_________________
LiveComm

Вернуться наверх

Valeriy-kww

Заголовок сообщения:

Добавлено: Ср авг 26, 2009 08:07

Зарегистрирован: Чт дек 18, 2008 09:10
Сообщений: 117
Откуда: Украина

По поводу самого свитча понятно ...
man vlan + trusted hosts и нет проблем.
Вопрос почему данный ACL пропускает транзитный траффик , если ARP запросы от IP адреса с данного порта фильтруются ?

Вернуться наверх

Alexandr Zaitsev

Заголовок сообщения:

Добавлено: Ср авг 26, 2009 12:11

Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow

Так правило блокирует только ARP пакеты. Весь другой трафик будет ходить беспрепятственно.

Вернуться наверх

Valeriy-kww

Заголовок сообщения:

Добавлено: Ср авг 26, 2009 16:25

Зарегистрирован: Чт дек 18, 2008 09:10
Сообщений: 117
Откуда: Украина

Разобрался ..

Не дожидался устаревания кеша коммутатора ...
Все работает, извините за беспокойство.

Вернуться наверх

Valeriy-kww

Заголовок сообщения:

Добавлено: Ср авг 26, 2009 16:29

Зарегистрирован: Чт дек 18, 2008 09:10
Сообщений: 117
Откуда: Украина

Еще вопрос ...
такая конструкция сможет запретить ARP c адресов 192.168.хх.1 ??

Код:

create access_profile packet_content_mask offset_0-15  0x0 0x0 0x0 0xFFFF0000 offset_16-31 0x0 0xF0000 0x0 0xFFFF00FF profile_id 20
config access_profile profile_id 20 add access_id auto_assign packet_content offset 12 0x08060000 offset 20 0x10000 offset 28 0xC0A80001 port 1,2,3,4,5,6,7,8 deny

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Ср авг 26, 2009 16:44

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

Блокировка невалидных ARP пакетов с IP:x.x.x.1:
create access_profile packet_content_mask offset_0-15 0x0 0x0 0x0 0xFFFF0000 offset_16-31 0x0 0xffff0000 0x0 0xFF profile_id 1
config access_profile profile_id 1 add access_id 1 packet_content offset 12 0x8060000 offset 20 0x20000 offset 28 0x1 port 25-28 permit
config access_profile profile_id 1 add access_id 5 packet_content offset 12 0x8060000 offset 20 0x10000 offset 28 0x1 port 25-28 permit
config access_profile profile_id 1 add access_id 9 packet_content offset 12 0x8060000 offset 20 0x20000 offset 28 0x1 port 1-28 deny
config access_profile profile_id 1 add access_id 10 packet_content offset 12 0x8060000 offset 20 0x10000 offset 28 0x1 port 1-28 deny

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

Valeriy-kww

Заголовок сообщения:

Добавлено: Ср авг 26, 2009 18:16

Зарегистрирован: Чт дек 18, 2008 09:10
Сообщений: 117
Откуда: Украина

т.е под маску 0xFFFF00FF попадет значение 0xC0A80001 (192.168.хх.1)
и правило сработает ??

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Чт авг 27, 2009 09:19

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

Да.

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

maxim-ka

Заголовок сообщения:

Добавлено: Пт окт 02, 2009 11:37

Зарегистрирован: Вт май 26, 2009 15:49
Сообщений: 10

Помогите составить правило ACL которое закроет данный трафик

Код:

32:21.885168 arp who-has 192.168.1.1 tell 192.168.19.110
32:21.891337 arp who-has 192.168.1.1 tell 192.168.19.110
32:21.913737 arp who-has 192.168.1.1 tell 192.168.19.110
32:21.921658 arp who-has 192.168.1.1 tell 192.168.19.110
32:21.923410 arp who-has 192.168.1.1 tell 192.168.21.125
32:21.927270 arp who-has 192.168.1.1 tell 192.168.21.125
32:21.932610 arp who-has 192.168.1.1 tell 192.168.19.110
32:22.016230 arp who-has 192.168.1.1 tell 192.168.19.110
32:22.096705 arp who-has 192.168.1.1 tell 192.168.19.110
32:22.108385 arp who-has 192.168.1.1 tell 192.168.21.125
32:22.141649 arp who-has 192.168.1.1 tell 192.168.19.110
32:22.215488 arp who-has 192.168.1.1 tell 192.168.19.110
32:22.243992 arp who-has 192.168.1.1 tell 192.168.19.110

мне нужно запретить все arp запросы к адресу 192.168.1.1 потому как запросы идут не дожидаясь ответа по времени видно что в одну секунду большое количество пакетов проходит.
Возможно ли это ?

Вернуться наверх

Denis Evgraphov

Заголовок сообщения:

Добавлено: Пт окт 02, 2009 13:15

Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan

Ответил Вам на этот вопрос в другой теме. Пожалуйста, не задавайте один и тот же вопрос одновременно в разных темах.

Вернуться наверх

Страница 1 из 1

[ Сообщений: 15 ]

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 32

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения