1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Вт июл 01, 2025 08:22

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 6 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
KovAl59
 Заголовок сообщения: Вопрос по ACL на основе packet content
СообщениеДобавлено: Сб окт 10, 2009 19:44 
Не в сети

Зарегистрирован: Ср июл 29, 2009 13:26
Сообщений: 544
Откуда: Фурманов
Вопрос к гуру по DES-3526, по составлению ACL на основе packet_content.
Есть задача - разрешить tcp от клиента:
IP = 10.0.192.2/22,
МАС = 00:00:21:01:AF:10
в подсеть 10.0.192.0/20 с диапазоном src портов 49152 - 65535 (торрент), порт № 1 DES-3526.
ACL хочу выполнить на основе packet content. Нарисовалось следующее:
Цитата:
create access_profile packet_content_mask offset_0-15 0x0 0x0000FFFF 0xFFFFFFFF 0x0 offset_16-31 0x0 0x0 0x000000FF 0x0000FFFF offset_32-47 0xFFFFFFFF 0xF000C000 0x0 0x0 profile_id 15
config access_profile profile_id 15 add access_id auto_assign packet_content_mask offset_0-15 0x0 0x00000000 0x2101AF10 0x0 offset_16-31 0x0 0x0 0x00000006 0x00000A00 offset_32-47 0xC0020A00 0xC000C000 0x0 0x0 port 1 permit

Вопрос - все ли верно? Самое сомнительное выделено красным.
src MAC
TCP
src IP
dst IP (subnet)
src ports
Первое сомнение в маске offset-а - 0xF000C000 - можно ли вообще применять здесь что-либо отличное от "0", или "F" ?
Второе - будет ли здесь 0xC000C000 работать именно диапазон портов (от 49152 до 65535)??


Последний раз редактировалось KovAl59 Сб окт 10, 2009 20:53, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
terrible
 Заголовок сообщения:
СообщениеДобавлено: Сб окт 10, 2009 20:17 
Не в сети

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default
чем вам не нравятся обычные ACL и почему они в вашем случае не подходят?
Вернуться наверх
 Профиль  
 
KovAl59
 Заголовок сообщения:
СообщениеДобавлено: Сб окт 10, 2009 20:40 
Не в сети

Зарегистрирован: Ср июл 29, 2009 13:26
Сообщений: 544
Откуда: Фурманов
terrible писал(а):
чем вам не нравятся обычные ACL и почему они в вашем случае не подходят?

Гм.. Вопросом на вопрос? ;) "Отвечу" в Вашем стиле - а чем Вы можете доказать, что "обычные" лучше? Обоснуйте, пожалуйста!
Ну а если немного поподробнее, то желание применить для решения задачи именно этот тип ACL появилось после прочтения вот здесь вот этого
Цитата:
В некоторых случаях правила на основе packet_content_mask действительно лучше чем обычные правила, ...
Как можно увидеть из этого примера использование правил на основе packet_content_mask позволяет уменьшить количество занимаемых правилами профилей без потери функционала ACL.
и после просмотра похожего решения у коллеги.

P.S. Собственно, все это несколько оффтоп.. Может быть все же по теме поговорим?
Вернуться наверх
 Профиль  
 
KovAl59
 Заголовок сообщения:
СообщениеДобавлено: Пн окт 12, 2009 16:48 
Не в сети

Зарегистрирован: Ср июл 29, 2009 13:26
Сообщений: 544
Откуда: Фурманов
И это всё, что могут сказать гуру? :(
Может быть служба техподдержки может что-либо пояснить по сабж, или предложить вменяемую документацию? Из предложенных примеров в FAQ, к сожалению, "шубу не сошьешь", в смысле не выяснить особенности применения ACL на основе packet content, больше приходится гадать...
P.S. Готов читать даже на English, лишь бы по теме.
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Пн окт 12, 2009 22:51 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
В FAQ очень вменяемая документация, а по поводу Вашего вопроса Вам абсолютно правильно заметили что можно сделать при помощи стандартных ACL. Их просто проще написать. Ну да ладно, специально для китайских комсомольцев!:)))

Если Вы правильно выставили offset-ы (проверять не буду это просто), то правила следующие:
1) Маска может быть любой (не только 0 и 1). В разрядах которые Вы хотите проверять и по которым должно полное совпадение в пакете ставится 1, в тех что не нужно проверять 0.
2) В правиле там где в разрядах в маске стоит 1 нужно ставить реальное значение бита, а там где 0 - любое.

Т.е. в плане TCP портов маска и правила под Ваши задачи написаны правильно.
Вернуться наверх
 Профиль  
 
snark
 Заголовок сообщения:
СообщениеДобавлено: Вт окт 13, 2009 22:29 
Не в сети

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13
  1. KovAl59 писал(а):
    Первое сомнение в маске offset-а - 0xF000C000 - можно ли вообще применять здесь что-либо отличное от "0", или "F" ?

    можно, не сомневайтесь! главное - это то чтобы то что Вы хотите фильтровать попадало под маску
  2. KovAl59 писал(а):
    Второе - будет ли здесь 0xC000C000 работать именно диапазон портов (от 49152 до 65535)??

    см. п.1.

P.S. правила особо не анализировал, т.к. любой пакет на котором строится ACL - это всего лишь повод посчитать в нем байты, но без тестов в конкретных условиях - ACL - ничто!
P.P.S. _внимательно_ читаем что сказал ув. И.Демин

_________________
с уважением, БП
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 6 ] 

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 30

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB