1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Вс июл 20, 2025 23:29

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 4 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
Phobius
 Заголовок сообщения: 3200-26 PCF ARP & Source IP Filter
СообщениеДобавлено: Пн сен 27, 2010 18:02 
Не в сети

Зарегистрирован: Чт авг 21, 2008 14:02
Сообщений: 27
Приветствую, коллеги!

Ломаю голову над вот какой задачей:

Разрешить сетевую активность (понимается хождение IP трафика и ARP пакетов) только от заранее определённого IP адреса, привязанного к конкретному порту.
Для данной цели, мы инспектим, соотв., два типа пакетов:
0x0806 - ARP
0x0800 - IP
По сути, PCF требуется только для ARP фильтра, для IP же фильтра можно просто пользоватся IP-профилем. К примеру:
Код:
create access_profile ip source_ip_mask 255.255.255.255 destination_ip_mask 0.0.0.0 profile_id 50
config access_profile profile_id 50 add access_id 1 ip source_ip 10.10.1.2 destination_ip 0.0.0.0 port 1 permit

Структура правил:
- разрешаем ARP
- разрешаем IP
- блокируем всё, что не разрешилось, например конструкцией

Код:
create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 100
config access_profile profile_id 100 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-24 deny

или
Код:
create access_profile  packet_content_mask   source_mac 00-00-00-00-00-00  profile_id 100
config access_profile profile_id 100  add access_id 1  packet_content   source_mac 00-00-00-00-00-00  port 1-24 deny


Итак, гвоздь программы именно permit PCF правило для ARP пакетов в формате DES-3200-26.
Соответственно, прочитав FAQ, родим следующую конструкцию:

Код:
create access_profile packet_content_mask offset1 l2 0 0xffff offset2 l3 0 0xffff offset3 l3 2 0xffff offset4 l3 14 0xffff offset5 l3 16 0xffff profile_id 19
config access_profile profile_id 19 add access_id 1 packet_content offset1 0x0806 offset2 0x0001 offset3 0x0800 offset4 0xaaaa offset5 0xaaaa port 1 permit

где aaaaaa - IP адрес клиента

Ткните, пожалста, носом, где неправильно, ибо данная конструкция не работает.
ARP фильтруются запрещающим правилом, ибо, как я понимаю, profile id 19 не срабатывает.

Причём, что самое забавное, не разрешается вообще любые ARP, которые должны подпадать под правило:
Код:
create access_profile packet_content_mask offset1 l2 0 0xffff profile_id 19
config access_profile profile_id 19 add access_id 1 packet_content offset1 0x0806 port 1 permit


соотв.

Код:
Command: show switch

Device Type        : DES-3200-26 Fast Ethernet Switch
Boot PROM Version  : Build 1.00.B004
Firmware Version   : Build 1.33.B004
Hardware Version   : A1
System Name        : test-dlink
System Location    : admin`s room
Spanning Tree      : Enabled
GVRP               : Disabled
IGMP Snooping      : Disabled
VLAN Trunk         : Disabled
802.1X             : Disabled
Telnet             : Enabled (TCP 23)
Web                : Disabled
RMON               : Disabled
SSH                : Disabled                                                 
SSL                : Disabled
CLI Paging         : Enabled
Syslog Global State: Enabled
Dual Image         : Supported
Password Encryption Status : Enabled
Вернуться наверх
 Профиль  
 
stepan_spb
 Заголовок сообщения:
СообщениеДобавлено: Пн сен 27, 2010 21:53 
Не в сети

Зарегистрирован: Вс июн 25, 2006 17:25
Сообщений: 84
Откуда: Saint-Petersburg
Мне так и не удалось заставить корректно работать PCF на этой модели.
viewtopic.php?t=124816&highlight=
Вернуться наверх
 Профиль  
 
duzer12
 Заголовок сообщения:
СообщениеДобавлено: Вт сен 28, 2010 04:46 
Не в сети

Зарегистрирован: Чт июн 25, 2009 09:10
Сообщений: 20
На столе отработало:
Код:
# Allow ARP
create access_profile  packet_content_mask   offset1 l2 0 0xFFFF  offset2 l3 14 0xFFFF  offset3 l3 16 0xFFFF  profile_id 30
config access_profile profile_id 30  add access_id 1  packet_content   offset1 0x0806   mask 0xffff offset2 0xc0a8   mask 0xffff offset3 0xb3c2   mask 0xffff port 1 permit
# Allow IP
create access_profile  packet_content_mask   offset1 l2 0 0xFFFF  offset2 l3 12 0xFFFF  offset3 l3 14 0xFFFF  profile_id 70
config access_profile profile_id 70  add access_id 1  packet_content   offset1 0x0800   mask 0xffff offset2 0xc0a8   mask 0xffff offset3 0xb3c2   mask 0xffff port 1 permit
# Deny all
create access_profile  packet_content_mask   offset1 l2 0 0x0  profile_id 254
config access_profile profile_id 254  add access_id 1  packet_content   port 1-26 deny

Цитата:
Denis Evgraphov: На данной серии профили разделяются на две группы - с offset и без, при наличии противоречия между группами (пакет попадает под обе группы) приоритетным будет запрещающее правило.
Вернуться наверх
 Профиль  
 
Phobius
 Заголовок сообщения:
СообщениеДобавлено: Вт сен 28, 2010 09:01 
Не в сети

Зарегистрирован: Чт авг 21, 2008 14:02
Сообщений: 27
Спасибо за ответы!
Сейчас смоделируем на стенде, о результатах отпишусь.
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 4 ] 

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 169

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB