как создать access_id или профиль, запрещающий прохождение вообще любого трафика?

Хочется создать ACL следующего вида:

разрешить ethertype x1
разрешить ethertype x2
разрешить ethertype x3
...
запретить всё остальное

Включая IPv6?

в разрешенный перечень ethertype например включить всё необходимое для работы IPv4. Для начала, опять-же например ip4,arp

остальное запретить

на самом деле не важно какие ethertype, это может быть и PPPoE и всё что угодно. Разрешить их не сложно, а вот как запретить всё остальное не могу понять.

единственное что сходу приходит на ум это создать один профиль, разрешающий определенные ethertype и второй профиль, который используя packet content mask запретит всё остальное. Насколько я понимаю для этого достаточно указать любой offset и маску 0х0, например так:


вроде работает, из лишнего проскакивают только броадкастовые и какие-то мультикастовые фреймы аля IPX и IGMP.

Есть ли другие способы решить вышеописанную задау?

разрешает IP и ARP и запрещает все остальное.

_________________
не важно, из какого места растут золотые руки

ну или через PCM:


P.S. в принципе offset 16 в profile_id 1 можно и не указывать

_________________
с уважением, БП

Павел (2 snark), в 30-й серии не все тегированные пакеты - только те, что идут с тегированных портов. Может в данном случае универсальнее будет использовать ethernet ethernet_type profile_id? Иначе для тегированных портов надо создавать один профиль, для нетегированных - другой (тот же самый, но сдвинутый на 4 байта). Вот в 35-й серии это уже как бы дело вкуса - там все пакеты тегированные - в зависимости от личных предпочтений можно выбрать либо packet_content, либо ethernet ethernet_type profile_id.

Дополнение после повторного внимательного прочтения предыдущего поста.

А! Все, вопрос отменяется! Еще раз прочитал АЦЛ. Там для двух позиций сразу все прописано. Это моя невнимательность.

_________________
не важно, из какого места растут золотые руки

Поясните на пальцах, плз.

_________________
D-Link Switches: Tips & Tricks

tagged-пакет от untagged-пакета отличается доп.заголовком, в котором содержится номер вилана. Размер доп.заголовка 4 байта. Стало быть то, что в untagged-пакете начинается с 12-й позиции, в tagged-пакете пойдет с 16-й. Вот snark и прописал в одном (первом) АЦЛ-е сразу оба правила:

offset_0-15 0x0 0x0 0x0 0xffff0000 - это для untagged - пропущены неинтересные байты 0-11 (0x0 0x0 0x0), а для позиций 12-15 задается условие маской -0xffff0000
offset_16-31 0xffff0000 - это для tagged - это 16-я позиция, значит для позиции с 16 по 19-ю задаем условие маской 0xffff0000, а все остальное - с 20 по 31-ю позиции - нас не интересует - его и не пишем - нули.
А уже дальше в правилах эту маску применяем на строку 0x08060000 (т.е. это протокол ARP - Ethertype 0x806 hex) и 0x08000000 (протокол IP - Ethertype 0x800 hex).

Сюда же можно добавить, к примеру, PPPoE (Ethertype 0x8863 (hex) - PPPoE Discovery Stage и Ethertype 0x8864 (hex) - PPPoE Session Stage)

И так далее - открываем http://www.iana.org/assignments/ethernet-numbers и выбираем все, что душе угодно.
Пока писал пост, подумал - а вот интересно, как отрабатывают условия на offset_0-15 и offset_16-31 - AND или OR?
Лично мне больше нравится запись того же самого АЦЛ-а в виде ethernet ethernet_type
Кстати, а это как работает? Явно поле Ethertype проверяется, причем в 12-й и 16-й позициях - основной вопрос - с логикой AND или OR? По идее в случае с ethernet ethernet_type логика должна быть OR, а в packet_content должна БЫ быть логика AND, т.к. условия в одном профиле прописаны.

_________________
не важно, из какого места растут золотые руки

GreatFoolDad, спасибо!

_________________
D-Link Switches: Tips & Tricks

А пожалуйста!
Пока отвечал, сам задумался. Так что по-любому полезно получилось.

_________________
не важно, из какого места растут золотые руки

тоже интересный вопрос. Если у snark это правильно фильтрует, значит как OR. Хотя по синтаксису логично было бы предположить следующее - в пределах одного профиля:
при написании в одном access_id - AND
при написании в разных access_id получится OR
Но либо я что-то не понимаю, либо одно из двух.

Еще один интересный вопрос - как вообще выполняется сравнение в access_id content_mask - именно как "равно" или как какая-то битово-логическая операция? Предполагаю, что с маской, заданной в access_profile выполняется AND, а в access_id "равно".

Вообще-то это XOR - сумма по модуля два.

Иван, где именно?

Иван, я-то имел в виду "логическое И" и "логическое ИЛИ".
В случае snark-овского профиля (No 1) по идее должно быть "логическое И" - т.е. должны быть выполнены оба условия - и для offset_0-15, и для offset_16-31.
А вот как работает ethernet_type? Предполагаю, что через "логическое ИЛИ" - "если хотя бы один из кусков по адресам 12 и 16 равен чему надо (800, 806 и т.д.)".
Правильно я предположил?

_________________
не важно, из какого места растут золотые руки