faq обучение настройка
Текущее время: Чт июл 10, 2025 14:25

Часовой пояс: UTC + 3 часа




Начать новую тему Эта тема закрыта, Вы не можете редактировать и оставлять сообщения в ней.  [ Сообщений: 3 ] 
Автор Сообщение
 Заголовок сообщения: DES-3028 ACL packet_content_mask
СообщениеДобавлено: Чт фев 04, 2010 04:29 
Не в сети

Зарегистрирован: Пт янв 29, 2010 18:04
Сообщений: 9
свитч DES-3028 прошивка DES_3028_52_V2.41-B05.had

есть желание полностью запретить хождение адресов 192.168.*.*
по сети на уровне arp
для этого хочу заблокировать следующие пакеты используя ACL свитчей

1)
tcpdump
Код:
03:36:05.789594 arp reply 192.168.0.2 is-at 08:00:27:bb:9b:7e

wireshark
Код:
0000  c6 1c 08 b1 df 74 08 00  27 bb 9b 7e(08 06)00 01   .....t.. '..~....
0010  08 00 06 04 00 02 08 00  27 bb 9b 7e c0 a8 00 02   ........ '..~....
0020  c6 1c 08 b1 df 74(c0 a8) 00 01 c3 89 54 be 50 18   .....t.. ....T.P.
0030  fb d0 38 17 00 00 17 03  01 01 02 e4               ..8..... .... 

2)
tcpdump
Код:
03:36:06.789343 arp who-has 192.168.0.2 (08:00:27:bb:9b:7e) tell 192.168.0.1

wireshark
Код:
0000  08 00 27 bb 9b 7e c6 1c  08 b1 df 74(08 06)00 01   ..'..~.. ...t....
0010  08 00 06 04 00 01 c6 1c  08 b1 df 74 c0 a8 00 01   ........ ...t....
0020  08 00 27 bb 9b 7e(c0 a8) 00 02                     ..'..~.. ..

в скобках содержимое пакета на основание которого есть желание построить фильтры (протокол и ip получателя )

по аналогии с 3526 построил правила:
Код:
create access_profile packet_content_mask offset_16-31 0xFFFF0000 0x0 0x0 0x0 offset_32-47 0xFFFF0000 0x0 0x0 0x0 profile_id 3
config access_profile profile_id 3 add access_id 1 packet_content offset 16 0x08060000 offset 32 0xc0a80000 port 1-28 deny

других ACL на свитче нет правила не отрабатывают

на 3526 использую для этих целей ACL
Код:
create access_profile packet_content_mask offset_16-31 0xFFFF0000 0x0 0x0 0x0 offset_32-47 0xFFFF0000 0x0 0x0 0x0 profile_id 3
config access_profile profile_id 3 add access_id 1 packet_content_mask offset_16-31 0x08060000 0x0 0x0 0x0 offset_32-47 0xc0a80000 0x0 0x0 0x0 port 1-26 deny

которые работают

Если не сложно подскажите что делаю не так.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт фев 04, 2010 08:08 
Не в сети

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль
На 3028 не нужно учитывать смещение для информации под VLAN, если трафик на фильтруемом порту нетегируемый.

_________________
LiveComm


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт фев 04, 2010 13:37 
Не в сети

Зарегистрирован: Пт янв 29, 2010 18:04
Сообщений: 9
svsh1990 писал(а):
На 3028 не нужно учитывать смещение для информации под VLAN, если трафик на фильтруемом порту нетегируемый.

спасибо проблемка была именно в этом
в итоге получил рабочие acl
Код:
create access_profile packet_content_mask offset_0-15 0x0 0x0 0x0 0xFFFF0000 offset_32-47 0x0 0x0000FFFF 0x0 0x0 profile_id 3
config access_profile profile_id 3 add access_id 1 packet_content offset 12 0x08060000 offset 38 0xc0a80000 port 1-28 deny


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Эта тема закрыта, Вы не можете редактировать и оставлять сообщения в ней.  [ Сообщений: 3 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 33


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB