Привет,
Я хотел спросить, получил новое DES-3200-10 и было несколько вопросов по ACL.
В настоящее время, являются следующие правила ACL DES-3526:

create access_profile packet_content_mask offset_0-15 0x0 0x0000ffff 0xffffffff 0x0 offset_16-31 0xffff0000 0x0 0x000000ff 0x0 offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 30
create access_profile packet_content_mask offset_32-47 0x0000ffff 0xffff0000 0x0 0x0 profile_id 35
create access_profile packet_content_mask offset_0-15 0x0 0x0000ffff 0xffffffff 0x0 offset_16-31 0x0 0x0 0x0 0x0000ffff offset_32-47 0xffff0000 0x0 0x0 0x0 profile_id 40


Как эти правила будут появляться, если в списке более использоваться в DES-3200-10?
Спасибо заранее

Тут все зависит от структуры пакетиков, которые Вы хотите анализировать. Ознакомьтесь, пожалуйста, с дополнительной документацией по этому вопросу на нашем сайте: http://dlink.ru/ru/faq/62/954.html

Спасибо за ссылку, но я уже читал.
Мне пришлось ethetnet структуру пакета.
следующий вопрос:
Если в 3526 являются:
offset_0-15 - dlink 3200-10 create access_profile packet_content_mask destination_mac FF-FF-FF-FF-FF-FF ..( or source)
offset_16-31 - delink 3200-10 create access_profile packet_content_mask L2..
offset_32-47 - dlink 3200-10 create access_profile packet_content_mask L3 ..
Если мне нужно принять пакетов IP будет L3 .... уровне и что смещение должно быть использовано в offset 13-16?\

??

Не совсем так. Где начинается та или иная часть лучше посмотреть поймав нужный пакетик сниффером, например, Wireshark. В нем это можно увидеть наглядно.

Предположим, если мне нужно принять source_ip, исходный MAC, и позволяет первому порту? Wireshark я вижу следующее:

0000 00 30 4f 54 C5 0c 00 30 4f 39 9B 10 08 00 45 00
0010 00 20 3E 8B 00 00 40 2f FC 71 4D DD 51 FD 4D DD
0020 51 FB 20 81 88 0b 00 00 80 00 00 00 30 21 00 00
0030 00 00 00 00 00 00 00 00 00 00 00 00

К ним относятся:
create access_profile packet_content_mask source_mac FF-FF-FF-FF-FF-FF offset1 l3 6 0xFFFF offset2 l3 8 0xFFFF profile_id 199
config access_profile profile_id 199 add access_id 1 packet_content source_mac 00-30-4F-39-9B-10 offset1 0x4DDD offset2 0x51FD port 1 permit
Правильно?
И если вы использовали, чтобы компенсировать, что VLAN добавить 4 бита?

Не совсем так, правила Вам нужны следующие:

L3 часть начинает сразу после ethertype: 0x0800 , то есть останутся следующие значения: 45 00 00 20 3E 8B 00 00 40 2f FC 71 4D DD 51 FD ...
Таким образом, анализируемые Вами значения начинаются с 12 позиции (считая от нуля).

Что касается смещения в тегированных пакетиках - необходимости каким бы то ни было образом его учитывать нет, так как L2 часть начинается сразу после тега 802.1q и отсчет смещения ведется уже от начала L2 (L3,L4) части, а не от начала всего пакета.

Другие nepasledny Вопрос:)
Если вы заблокировали этого правила:
create access_profile packet_content_mask offset1 l2 0 0xffff profile_id 255
config access_profile profile_id 255 add access_id 1 packet_content offset1 0x0800 port 1 deny
И тогда пусть исходный MAC и IP:

create access_profile packet_content_mask source_mac FF-FF-FF-FF-FF-FF offset1 l2 0 0xffff offset2 l3 12 0xFFff offset3 l3 14 0xFFff profile_id 200
config access_profile profile_id 200 add access_id 1 packet_content source_mac 00-22-15-3B-5F-15 offset1 0xffff offset2 0x4DDD offset3 0x50FA port 1 deny

но я все еще заблокирован. Может быть, я neto delaju? Интернет представлены в vlan10. Kak nada mnie sdelat dlia des 3200-10 acl rules, sto byla sdelana dlia des 3526

DES 3526:
create access_profile packet_content_mask offset_16-31 0xFFFF0000 0x0 0x0 0x0 profile_id 255
config access_profile profile_id 255 add access_id 1 packet_content_mask offset_16-31 0x8000000 0x0 0x0 0x0 port 1 deny

create access_profile packet_content_mask offset_0-15 0x0 0x0000ffff 0xffffffff 0x0 offset_16-31 0x0 0x0 0x0 0x0000ffff offset_32-47 0xffff0000 0x0 0x0 0x0 profile_id 200

config access_profile profile_id 200 add access_id 1 packet_content_mask offset_0-15 0x0 0x22 0x153B5F15 0x0 offset_16-31 0x0 0x0 0x0 0x4DDD offset_32-47 0x50FA0000 0x0 0x0 0x0 port 1 permit

Указанные Вами правила примут в DES-3200 следующий вид:

Что касается самой решаемой задачи - поясните ее, пожалуйста, поточнее с указанием того, какая связка IP-MAC у Вас на компьютере и какого рода трафик Вы хотите заблокировать.

Мне нужно сделать, это блокировать интернет с одного профиля (в данном случае профиль ID 255) и другие правила позволят (в этом случае профиль ID 200), если пропустили же IP и MAC, если они отличаются MAC и IP профили, описанные в правиле блокирует доступ .
Все Ethernet уровня.

Данные правила блокируют именно весь IP трафик на 1-ом порту, если связка IP-MAC клиента не удовлетворяет указанной в правиле. У меня на тестовом стенде такая конфигурация работает. У Вас на тестовом компьютере какой IP-адрес задан и какой MAC и какая у Вас версия прошивки?

Firmware: Build 1.10.B015
Ip : 77.221.91.250
MAC : 00-22-15-3B-5F-15
Когда я использую эти правила, мои блоки, но должно позволить профили 200, поскольку она ниже идентификатор профиля, и как я должен тратить больше. Но что это сказка, где компьютер является то, что IP не является Интернет.

При такой связке разрешающее правило должно выглядеть так:
create access_profile packet_content_mask source_mac FF-FF-FF-FF-FF-FF offset1 l3 12 0xFFFF offset2 l3 14 0xFFFF profile_id 200
config access_profile profile_id 200 add access_id 1 packet_content source_mac 00-22-15-3B-5F-15 offset1 0x4DDD offset2 0x5BFA port 1 permit

spasiba