faq обучение настройка
Текущее время: Сб авг 02, 2025 06:18

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 13 ] 
Автор Сообщение
 Заголовок сообщения: DES-3526 acl и потеря пакетов
СообщениеДобавлено: Чт мар 22, 2012 14:52 
Не в сети

Зарегистрирован: Пт июн 06, 2008 09:51
Сообщений: 95
День добрый.

проверялись прошивки для DES-3526: 5.01-B51, R6_6.00-B43, 5.01-B48, 6.00-B53, R6_6.20.B10
тестировали на разных коммутаторах, чистые конфиги
+ эта проблема даже локально на одном коммутаторе, с порта на порт имеем потери пакетов
после добавления блокировки трафика до 1023 порта в сети 10.10
Код:
create access_profile packet_content_mask offset_32-47 0x0000ffff 0x0 0xfc000000 0x0 profile_id 3
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_32-47 0x00000a0a 0x0 0x00000000 0x0 port 1-24 deny

начинаются потери icmp для сети 10.10 2-5%
может есть прошивка лечащая функционал acl или как добавить подобное ограничение диапазона портов как-то по другому (но одним правилом),
что бы коммутатор не "проглатывал" пакеты


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3526 acl и потеря пакетов
СообщениеДобавлено: Чт мар 22, 2012 16:12 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Что Вы хотите запретить этим правилом и как Вы проверяете наличие проблемы?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3526 acl и потеря пакетов
СообщениеДобавлено: Чт мар 22, 2012 16:25 
Не в сети

Зарегистрирован: Пт июн 06, 2008 09:51
Сообщений: 95
SerjVarshavskiy писал(а):
после добавления блокировки трафика до 1023 порта в сети 10.10


т.е. нужно заблокировать все привилегированные порты 0-1023 для подсети 10.10.x.x

подключаем два компьютера с ip из 10.10.x.x к портам одного коммутатора и запускаем ping между ними


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3526 acl и потеря пакетов
СообщениеДобавлено: Чт мар 22, 2012 16:27 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Вы пробовали это же сделать при помощи IP ACL, а не PCF?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3526 acl и потеря пакетов
СообщениеДобавлено: Чт мар 22, 2012 16:30 
Не в сети

Зарегистрирован: Пт июн 06, 2008 09:51
Сообщений: 95
не пробывал
а это можно одним правилом? из-за малого кол-ва груп правил нужно одним правилом


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3526 acl и потеря пакетов
СообщениеДобавлено: Чт мар 22, 2012 21:29 
Не в сети

Зарегистрирован: Пн ноя 27, 2006 19:25
Сообщений: 265
Откуда: Крым
Людям, абсолютно не понимающим, что они режут, даю тонкий намек - offset_16-31 с маской 0xffff0000 0x0 0x0 0x0 позволит указать тип протокола x08000000. Это если непонимающие люди действительно хотят, чтобы в маску 0xfc000000 в следующем оффсете попадали именно номера портов, а не что-то другое.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3526 acl и потеря пакетов
СообщениеДобавлено: Пт мар 23, 2012 09:00 
Не в сети

Зарегистрирован: Пт июн 06, 2008 09:51
Сообщений: 95
alex_ov, спасибо, похоже нужно доуказать тип протокола
в описании http://www.dlink.ru/ru/faq/62/240.html
Цитата:
Вот и все, ТСР destination port 445 заблокирован. Можно поступить несколько иначе, а именно:

create access_profile packet_content_mask offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 1
config access_profile profile_id 1 add access_id 1 packet_content_mask offset_32-47 0x0 0x0 0x01bd0000 0x0 port 1 deny

Т.е. не указывать протокол (offset_16-31 0x0 0x0 0x000000ff), в таком варианте будут заблокированы все пакеты с destination port 445 вне зависимости от протокола, т.е. под данное правило попадут и ТСР и UDP пакеты.


вот и поступил несколько иначе... может добавить в описание: "Но в этом случае возможны потери пакетов (например icmp), если offset_32-47 будет соответствовать правилу/маске"


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3526 acl и потеря пакетов
СообщениеДобавлено: Пт мар 23, 2012 09:39 
Не в сети

Зарегистрирован: Пн ноя 27, 2006 19:25
Сообщений: 265
Откуда: Крым
Та да, техсаппорту длинка стоило бы дополнить пример, чтобы люди больше не попадали на этом.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3526 acl и потеря пакетов
СообщениеДобавлено: Пт мар 23, 2012 11:43 
Не в сети

Зарегистрирован: Вт июн 01, 2010 04:38
Сообщений: 794
Откуда: Vladivostok
я если честно так и не понял
почему у человека потери возникли)
какая разница указан протокол или нет

_________________
2008-2015г. компания Экстрим Интернет. Технический директор/Главный системный администратор.
2015-по н.в. компания "Подряд". Инженер сети ШПД


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3526 acl и потеря пакетов
СообщениеДобавлено: Пт мар 23, 2012 13:32 
Не в сети

Зарегистрирован: Пт июн 06, 2008 09:51
Сообщений: 95
порт назначения в этом смещении есть в tcp udp
а например в icmp в этом смещении совсем другая информация и она иногда (если правило без указания протокола) равна правилу deny,
так и получалось, что иногда это 2-4% потерь в icmp


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3526 acl и потеря пакетов
СообщениеДобавлено: Пт мар 23, 2012 13:39 
Не в сети

Зарегистрирован: Пн ноя 27, 2006 19:25
Сообщений: 265
Откуда: Крым
Вот. :)
Теперь люди стали понимающими. Значит, все получится.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3526 acl и потеря пакетов
СообщениеДобавлено: Пт мар 23, 2012 13:45 
Не в сети

Зарегистрирован: Вт июн 01, 2010 04:38
Сообщений: 794
Откуда: Vladivostok
SerjVarshavskiy писал(а):
порт назначения в этом смещении есть в tcp udp
а например в icmp в этом смещении совсем другая информация и она иногда (если правило без указания протокола) равна правилу deny,
так и получалось, что иногда это 2-4% потерь в icmp

то-есть вы хотите сказать, что если поставить пинг на какой-то узел
то каждый icmp пакет пойдет по разным портам?

_________________
2008-2015г. компания Экстрим Интернет. Технический директор/Главный системный администратор.
2015-по н.в. компания "Подряд". Инженер сети ШПД


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3526 acl и потеря пакетов
СообщениеДобавлено: Пт мар 23, 2012 15:09 
Не в сети

Зарегистрирован: Пт июн 06, 2008 09:51
Сообщений: 95
mcdemon05:
Формат пакета ICMP
где по этому смещению порт для icmp? да и вообще порт источник/назначение для icmp есть?


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 13 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 8


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB