D-Link • Просмотр темы - Количество профилей ACL на DGS-3426G

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Количество профилей ACL на DGS-3426G

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 1

[ Сообщений: 7 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

iuser

Заголовок сообщения: Количество профилей ACL на DGS-3426G

Добавлено: Вт май 04, 2010 08:52

Зарегистрирован: Чт май 22, 2008 11:26
Сообщений: 50

Здравствуйте!

Больше 6-и профилей никак не задать?
Катастрофически не хватает..

Boot PROM Version : Build 1.00-B13
Firmware Version : Build 2.61.B06

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения: Re: Количество профилей ACL на DGS-3426G

Добавлено: Вт май 04, 2010 11:51

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

Пожалуйста, уточните следующее:
1. Как сейчас настроены ACL.
2. И какие ACL Вы хотите добавить.

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

iuser

Заголовок сообщения:

Добавлено: Ср май 12, 2010 07:38

Зарегистрирован: Чт май 22, 2008 11:26
Сообщений: 50

Здравствуйте! Извиняюсь за долгий ответ.
Все профили задействованы под приоритезацию трафика. А еще хотелось бы создать правила для фильтрации SMB-протокола, портов программ удаленного администрирова
ния и других запрещающих правил.
Профиль 1 используется для приоритезации трафика в 7 приоритет для VoIP. VoIP-шлюзы имеют адреса как раз из диапазона 192.168.0.0/255.255.255.128.
Профиль 2-5 испольуются для приоритезации трафика домашних сетей в нулевой, приоритета не имеющий. Это направления:
10.0.0.0/255.240.0.0 - 10.0.0.0/255.240.0.0
192.168.64.0/255.255.192.0 - 10.0.0.0/255.240.0.0
10.0.0.0/255.240.0.0 - 192.168.64.0/255.255.192.0
192.168.64.0/255.255.192.0 - 192.168.64.0/255.255.192.0

И профиль 6 приоретизирует весь остальной трафик в 5 приоритет - все остальные сервисы. Перечислять направления и создавать правила для них - трудоемко поддер
живать, поэтому весь остальной трафик.

Правила:

Код:

create access_profile profile_id 1 ip destination_ip_mask 255.255.255.128
config access_profile profile_id 1 add access_id auto_assign ip destination_ip 192.168.0.0  port 1-26 permit priority 7 replace_priority rx_rate no_limit

create access_profile profile_id 2 ip source_ip_mask 255.240.0.0 destination_ip_mask 255.240.0.0
config access_profile profile_id 2 add access_id auto_assign ip source_ip 10.0.0.0 destination_ip 10.0.0.0  port 1-26 permit priority 0 replace_priority rx_rate no_limit

create access_profile profile_id 3 ip source_ip_mask 255.255.192.0 destination_ip_mask 255.240.0.0
config access_profile profile_id 3 add access_id auto_assign ip source_ip 192.168.64.0 destination_ip 10.0.0.0  port 1-26 permit priority 0 replace_priority rx_rate no_limit

create access_profile profile_id 4 ip source_ip_mask 255.240.0.0 destination_ip_mask 255.255.192.0
config access_profile profile_id 4 add access_id auto_assign ip source_ip 10.0.0.0 destination_ip 192.168.64.0  port 1-26 permit priority 0 replace_priority rx_rate no_limit

create access_profile profile_id 5 ip source_ip_mask 255.255.192.0 destination_ip_mask 255.255.192.0
config access_profile profile_id 5 add access_id auto_assign ip source_ip 192.168.64.0 destination_ip 192.168.64.0  port 1-26 permit priority 0 replace_priority rx_rate no_limit

create access_profile profile_id 6 ip source_ip_mask 0.0.0.0 destination_ip_mask 0.0.0.0
config access_profile profile_id 6 add access_id auto_assign ip source_ip 0.0.0.0 destination_ip 0.0.0.0  port 1-26 permit priority 5 replace_priority rx_rate no_limit

Вернуться наверх

GreatFoolDad

Заголовок сообщения:

Добавлено: Ср май 12, 2010 09:42

Зарегистрирован: Ср ноя 09, 2005 14:26
Сообщений: 808
Откуда: Alma-Ata

мне сдается, что профили используются неэффективно и их можно и нужно объединить. правда придется помозговать.

Цитата:

10.0.0.0/255.240.0.0 - 10.0.0.0/255.240.0.0
192.168.64.0/255.255.192.0 - 10.0.0.0/255.240.0.0
10.0.0.0/255.240.0.0 - 192.168.64.0/255.255.192.0
192.168.64.0/255.255.192.0 - 192.168.64.0/255.255.192.0

по-моему вполне могут быть заменены на профили по дестинэйшену:
* - 10.0.0.0/255.240.0.0
* - 192.168.64.0/255.255.192.0
либо по соурсу

_________________
не важно, из какого места растут золотые руки

Вернуться наверх

iuser

Заголовок сообщения:

Добавлено: Ср май 12, 2010 09:55

Зарегистрирован: Чт май 22, 2008 11:26
Сообщений: 50

Да, можно так, но тогда освободим только пару профилей. А профилей нужно больше:
блокировка трафика tcp/udp портов SMB
блокировка пакетов по packet_content на разные смещения
Ну и так далее - запаса по профилям совсем нет.

Вот на DES-3028/3200 профилей вполне хватает. А тут 6-и ну никак. Хотя DGS-3426G планируется на замену Nortel BPS-2000. Может другая какая-нибудь железка подойдет для этого?

Необходимы гигабитные порты, широкие возможности по ACL и приоритезации трафика на L2.

Вернуться наверх

Denis Evgraphov

Заголовок сообщения:

Добавлено: Ср май 12, 2010 11:13

Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan

Так фильтруйте SMB и прочие указанные Вами пакетики на коммутаторах доступа (тех же DES-3028, DES-3200)

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Сб май 15, 2010 22:45

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

DGS-36XX и DGS-3610-XX. Сколько и каких портов нужно?

Вернуться наверх

Страница 1 из 1

[ Сообщений: 7 ]

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 10

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения