D-Link • Просмотр темы - DES-3028: No enough room for this rule!

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

DES-3028: No enough room for this rule!

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 1

[ Сообщений: 14 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

mik0s

Заголовок сообщения: DES-3028: No enough room for this rule!

Добавлено: Пн мар 15, 2010 20:26

Зарегистрирован: Пн мар 15, 2010 20:23
Сообщений: 105

Хочу закрыть левые dhcp в сети

Код:

create access_profile ip udp dst_port_mask 0xFFFF profile_id 2
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 67 port 1-24 permit
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 68 port 1-24 deny

На последнем правиле получаю такую вещь

Код:

DES-3028G:4#config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 68 port 1-24 deny
Command: config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 68 port 1-24 deny

No enough room for this rule!
Fail!   

Это чего такое?

Вернуться наверх

svsh1990

Заголовок сообщения:

Добавлено: Пн мар 15, 2010 21:30

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль

Мб лимит правил исчерпан? какие у вас ещё ACL есть на свитче? можете привести выдержку из текущего конфига устройства?

_________________
LiveComm

Вернуться наверх

mik0s

Заголовок сообщения:

Добавлено: Пн мар 15, 2010 21:38

Зарегистрирован: Пн мар 15, 2010 20:23
Сообщений: 105

svsh1990 писал(а):

Вполне возможно кстати. ACL генерятся шлюзом BGBilling.

Код:

# ACL

create access_profile  ip  destination_ip 255.255.255.255 udp dst_port 0xFFFF    profile_id 4
config access_profile profile_id 4  add access_id 1  ip  destination_ip 255.255.255.255 udp dst_port 67        port 1 permit
config access_profile profile_id 4  add access_id 2  ip  destination_ip 255.255.255.255 udp dst_port 67        port 2 permit
config access_profile profile_id 4  add access_id 3  ip  destination_ip 255.255.255.255 udp dst_port 67        port 3 permit
config access_profile profile_id 4  add access_id 4  ip  destination_ip 255.255.255.255 udp dst_port 67        port 4 permit

...

config access_profile profile_id 28  add access_id 22  ethernet  source_mac 00-00-00-00-00-00  port 22 deny
config access_profile profile_id 28  add access_id 23  ethernet  source_mac 00-00-00-00-00-00  port 23 deny
config access_profile profile_id 28  add access_id 24  ethernet  source_mac 00-00-00-00-00-00  port 24 deny
disable cpu_interface_filtering

Последний раз редактировалось mik0s Вт мар 16, 2010 00:40, всего редактировалось 1 раз.

Вернуться наверх

svsh1990

Заголовок сообщения:

Добавлено: Пн мар 15, 2010 23:09

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль

В консоли в конце вывода комнады

Код:

sh acce

должна выводиться итоговая табличка

Код:

Total Profile Entries: 8

Total Used Rule Entries: 104

Total Unused Rule Entries: 152

_________________
LiveComm

Вернуться наверх

mik0s

Заголовок сообщения:

Добавлено: Вт мар 16, 2010 00:40

Зарегистрирован: Пн мар 15, 2010 20:23
Сообщений: 105

Код:

Total Profile Entries: 7 

Total Used Rule Entries: 222 

Total Unused Rule Entries: 34 

Вернуться наверх

svsh1990

Заголовок сообщения:

Добавлено: Вт мар 16, 2010 07:49

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль

Ну всё правильно. у вас всего 34 свободных, а вы добавляете ещё 48 правил.
Вы кстати очень неэффективно используете правила.
У вас на каждый порт расходуется 1 правило.
А можно обойтись так:

Код:

create access_profile  ip  udp src_port 0xFFFF    profile_id 100
config access_profile profile_id 100  add access_id 1  ip  udp src_port 67        port 25-28 permit priority 6
config access_profile profile_id 100  add access_id 2  ip  udp src_port 68        port 1-28 permit priority 6
config access_profile profile_id 100  add access_id 3  ip  udp src_port 67        port 1-24 deny

израсходуется всего 3 правила.

_________________
LiveComm

Вернуться наверх

littlesavage

Заголовок сообщения:

Добавлено: Вт мар 16, 2010 08:38

Зарегистрирован: Ср июл 16, 2008 20:32
Сообщений: 99
Откуда: Чебоксары

svsh1990 писал(а):

Да нет, все равно 56.

Вернуться наверх

svsh1990

Заголовок сообщения:

Добавлено: Вт мар 16, 2010 10:34

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль

Код:

Command: show access_profile

Access Profile Table

================================================================================
Profile ID: 100                        Type: IPv4 Frame Filter - UDP
================================================================================
Masks  Option
Prot Src.Port
---- --------
UDP  0xFFFF

--------------------------------------------------------------------------------
Access ID : 1
Ports     : 25-28
Mode      : Permit Priority=6

Prot Src.Port
---- --------
UDP  67

--------------------------------------------------------------------------------
Access ID : 2
Ports     : 1-28
Mode      : Permit Priority=6

Prot Src.Port
---- --------
UDP  68

--------------------------------------------------------------------------------
Access ID : 3
Ports     : 1-24
Mode      : Deny

Prot Src.Port
---- --------
UDP  67

отображается 3. в конфиге тоже 3.

_________________
LiveComm

Вернуться наверх

mik0s

Заголовок сообщения:

Добавлено: Вт мар 16, 2010 11:36

Зарегистрирован: Пн мар 15, 2010 20:23
Сообщений: 105

Да, но так устроен стандартный шлюз билинга. Была мысль свой скриптовый писать, что скорее всего и придется делать.
Кстати, не подскажете, можно на один порт по несколько IP выдавать (по opt.82)? Сейчас по такой схеме 1 порт = 1 IP, что не всех устраивает, тем более что бы ла практика выдачи целых подсетей на один порт, но там схема была другой (vlan per user).

Вернуться наверх

littlesavage

Заголовок сообщения:

Добавлено: Вт мар 16, 2010 12:42

Зарегистрирован: Ср июл 16, 2008 20:32
Сообщений: 99
Откуда: Чебоксары

отображается 3. в конфиге тоже 3.[/quote]
А Total Used Rule Entries и Total Unused Rule Entries чего не показываешь?

Вернуться наверх

GreatFoolDad

Заголовок сообщения:

Добавлено: Вт мар 16, 2010 13:00

Зарегистрирован: Ср ноя 09, 2005 14:26
Сообщений: 808
Откуда: Alma-Ata

mik0s писал(а):

Код:

Total Profile Entries: 7 

Total Used Rule Entries: 222 

Total Unused Rule Entries: 34 

_________________
не важно, из какого места растут золотые руки

Вернуться наверх

littlesavage

Заголовок сообщения:

Добавлено: Вт мар 16, 2010 19:00

Зарегистрирован: Ср июл 16, 2008 20:32
Сообщений: 99
Откуда: Чебоксары

GreatFoolDad писал(а):

mik0s писал(а):

Код:

Total Profile Entries: 7 
Total Used Rule Entries: 222 
Total Unused Rule Entries: 34 

svsh1990 не показывает

Вернуться наверх

Ivantey

Заголовок сообщения:

Добавлено: Вт мар 16, 2010 19:33

Зарегистрирован: Пт окт 24, 2003 00:47
Сообщений: 508
Откуда: Moscow

В новых прошивках
config filter dhcp_server ports 1-24 state en
config filter dhcp_server trap_log en
config filter dhcp_server illegal_server_log_suppress_duration 1min

_________________
D-Link User: DGS-3120-24, DGS-3324SR, DGS-3627G, DGS-3612G, DGS-3312SR, DGS-3100-24TG, DGS-3200-10, DES-3200-26, DES-3200-28, DES-3200-18, DES-3528, DES-3526, DES-3028, DES-1228, DES-2108, DES-2110, DES-3326SR, DMC-920, DMC-810.

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Ср мар 17, 2010 03:44

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Вообще-то в указанном примере будет использовано 29 правил а не 56.

Вернуться наверх

Страница 1 из 1

[ Сообщений: 14 ]

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 37

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения