1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Вт июл 22, 2025 23:07

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 2
  [ Сообщений: 23 ]  На страницу 1, 2  След.
  Предыдущая тема | Следующая тема 
Автор Сообщение
IvanI
 Заголовок сообщения: DES-3526 DES-3200 набор фильтров IP + MAC+ PCM
СообщениеДобавлено: Чт сен 30, 2010 13:52 
Не в сети

Зарегистрирован: Сб дек 09, 2006 11:21
Сообщений: 237
Пытаюсь настроить фильтры на пользовательских портах, на 3526 вроде все работает, на 3200 АРПы не ходят.
Порты 18-24 сегмент 192.168.16.0/24


Код:
1 запретить АРП (0x0806) от IP шлюзов х.х.х.49 (0x31)

3526
create access_profile packet_content_mask

offset_0-15 0x0 0x0 0x0 0x0
               0   2      4   8   12   
offset_16-31 0xFFFF0000 0x0 0x0 0x0
               16  18                 
offset_32-47 0x000000FF 0x0 0x0 0x0 profile_id 1

config access_profile profile_id 1 add access_id auto_assign packet_content_mask
                             
offset_0-15 0x0 0x0 0x0 0x0
               0                     
offset_16-31 0x08060000 0x0 0x0 0x0
               16  18                 
offset_32-47 0x00000031 0x0 0x0 0x0 port 1-24 deny

3200
create access_profile packet_content_mask
               0
offset1 l2 0 0xFFFF
                18
offset2 l2 18 0x00FF profile_id 1

config access_profile profile_id 1 add access_id auto_assign packet_content
          0
offset1 0x0806
          18
offset2 0x0031 port 1-24 deny

2 разрешить АРП (0x0806 Hardware type: 0x0001 Protocol: 0x0800 Hardware Address len: 0x06 Protocol Address len: 0x04) от и к IP сегмента 0xC0A810 (192.168.16.х) с повышенным приорететом,

поставлю потом минимальную скорость

3526 - работает
create access_profile packet_content_mask
                             
offset_0-15 0x0 0x0 0x0 0x0
               0   2      4   6                   
offset_16-31 0xFFFFFFFF 0xFFFFFFFF 0x0 0x0
               16  18     20  24  26     28                               
offset_32-47 0xFFFFFF00 0x0 0x0000FFFF 0xFF000000 profile_id 2

config access_profile profile_id 2 add access_id auto_assign packet_content_mask
                             
offset_0-15 0x0 0x0 0x0 0x0
               0   2      4   6                     
offset_16-31 0x08060001 0x08000604 0x0 0x0
               16  18     20  24  26     28                           
offset_32-47 0xC0A81000 0x0 0x0000C0A8 0x10000000 port 18-24 permit priority 5 replace_priority replace_dscp_with 30

3200 - неработает
create access_profile packet_content_mask
               0                   2                   4                   6         
offset1 l2 0 0xFFFF offset2 l2 2 0xFFFF offset3 l2 4 0xFFFF offset4 l2 6 0xFFFF
                16                   18                   26                   28           
offset5 l2 16 0xFFFF offset6 l2 18 0xFF00 offset7 l2 26 0xFFFF offset8 l2 28 0xFF00 profile_id 2

config access_profile profile_id 2 add access_id auto_assign packet_content
          0              2              4              6             
offset1 0x0806 offset2 0x0001 offset3 0x0800 offset4 0x0604 
          16             18             26             28                   
offset5 0xc0a8 offset6 0x1000 offset7 0xc0a8 offset8 0x1000 port 18-24 permit priority 5 replace_priority replace_dscp_with 30


3 разрешить запрос DHCP udp на IP 255.255.255.255 и порт 67 с повышенным приорететом, поставлю потом минимальную скорость

3526
create access_profile ip destination_ip_mask 255.255.255.255 udp dst_port_mask 0xFFFF profile_id 3
config access_profile profile_id 3 add access_id auto_assign ip destination_ip 255.255.255.255 udp dst_port 67 port 1-24 permit priority 5 replace_priority replace_dscp_with 30

3200
create access_profile ip destination_ip 255.255.255.255 udp dst_port_mask 0xFFFF profile_id 3
config access_profile profile_id 3 add access_id auto_assign ip destination_ip 255.255.255.255 udp dst_port 67 port 1-24 permit priority 5 replace_priority replace_dscp_with 30


4 запретить ответ DHCP udp на 68 порт

3526
create access_profile ip udp dst_port_mask 0xFFFF profile_id 4
config access_profile profile_id 4 add access_id auto_assign ip udp dst_port 68 port 1-24 deny

3200
create access_profile ip udp dst_port_mask 0xFFFF profile_id 4
config access_profile profile_id 4 add access_id auto_assign ip udp dst_port 68 port 1-24 deny


5 запретить броадкаст на FF-FF-FF-FF-FF-FF

3526
create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF profile_id 5
config access_profile profile_id 5 add access_id auto_assign ethernet destination_mac FF-FF-FF-FF-FF-FF port 1-24 deny

3200
create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF profile_id 5
config access_profile profile_id 5 add access_id auto_assign ethernet destination_mac FF-FF-FF-FF-FF-FF port 1-24 deny


6 разрешить сегменту 192.168.16.0/24 в сегмент с серверами платных севисов 192.168.20.0/24 с повышенным приорететом

3526
create access_profile ip source_ip_mask 255.255.255.0 destination_ip_mask 255.255.255.0 profile_id 6
config access_profile profile_id 6 add access_id auto_assign ip source_ip 192.168.16.0 destination_ip 192.168.20.0 port 18-24 permit priority 6 replace_priority replace_dscp_with 40

3200
create access_profile ip source_ip 255.255.255.0 destination_ip 255.255.255.0 profile_id 6
config access_profile profile_id 6 add access_id auto_assign ip source_ip 192.168.16.0 destination_ip 192.168.20.0 port 18-24 permit priority 6 replace_priority replace_dscp_with 40


7 запретить должникам (например 00-00-11-22-33-44) остальное

3526
create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF profile_id 7
config access_profile profile_id 7 add access_id auto_assign ethernet source_mac 00-00-11-22-33-44 port 12 deny

3200
create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF profile_id 7
config access_profile profile_id 7 add access_id auto_assign ethernet source_mac 00-00-11-22-33-44 port 12 deny


8 разрешить сегменту 192.168.16.0/24 все

3526
create access_profile ip source_ip_mask 255.255.255.0 profile_id 8
config access_profile profile_id 8 add access_id auto_assign ip source_ip 192.168.16.0 port 18-24 permit priority 3 replace_priority replace_dscp_with 20

3200
create access_profile ip source_ip 255.255.255.0 profile_id 8
config access_profile profile_id 8 add access_id auto_assign ip source_ip 192.168.16.0 port 18-24 permit priority 3 replace_priority replace_dscp_with 20


9 запретить все

3526
create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 9
config access_profile profile_id 9 add access_id auto_assign ethernet source_mac 00-00-00-00-00-00 port 1-24 deny

3200
create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 9
config access_profile profile_id 9 add access_id auto_assign ethernet source_mac 00-00-00-00-00-00 port 1-24 deny



Подскажите пожалуста где косяк во 2ом профиле и покритикуйте набор правил.
Вернуться наверх
 Профиль  
 
IvanI
 Заголовок сообщения:
СообщениеДобавлено: Чт сен 30, 2010 14:47 
Не в сети

Зарегистрирован: Сб дек 09, 2006 11:21
Сообщений: 237
притом счетчик тикает
Код:
Access ID : 1
Ports     : 18-24
Mode      : Permit              Priority=5(Replaced)            Replace DSCP: 32

Counter   : 136
Offset1  Value:       0x0806
Offset2  Value:       0x0001
Offset3  Value:       0x0800
Offset4  Value:       0x0604
Offset5  Value:       0xC0A8
Offset6  Value:       0x1000
Offset7  Value:       0xC0A8
Offset8  Value:       0x1000


Вернуться наверх
 Профиль  
 
IvanI
 Заголовок сообщения:
СообщениеДобавлено: Чт сен 30, 2010 14:52 
Не в сети

Зарегистрирован: Сб дек 09, 2006 11:21
Сообщений: 237
На прозьбу выслать описание настройки packet_content_mask фильтра в WEB и CLI севодня прислали описание SNMP....
Вернуться наверх
 Профиль  
 
Bigarov Ruslan
 Заголовок сообщения:
СообщениеДобавлено: Чт сен 30, 2010 15:27 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
ftp://ftp.dlink.ru/pub/Switch/DES-3526_ ... scription/
ftp://ftp.dlink.ru/pub/Switch/DES-3200/Description/

_________________
С уважением,
Бигаров Руслан.
Вернуться наверх
 Профиль  
 
IvanI
 Заголовок сообщения:
СообщениеДобавлено: Чт сен 30, 2010 16:22 
Не в сети

Зарегистрирован: Сб дек 09, 2006 11:21
Сообщений: 237
Цитата:
In case of a conflict in the rules entered for different profiles, the rule with the highest priority (lowest profile_id) will take precedence. See
below for information regarding limitations on access profiles and access rules.

В случае a конфликт в правилах поступил на различные профили, правило с самым высоким приоритетом (самый низкий profile_id) будет иметь приоритет. См. ниже для информации относительно ограничений на профили доступа и правила доступа.


На практике выходит что профиль 9 прибивает пакеты прошедшие профиль 2?
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения:
СообщениеДобавлено: Чт сен 30, 2010 16:34 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
На этой серии есть такая особенность. Нужно переделать все разрешающие правила + 5-ый профиль под PCF и девятый профиль сделать как PCF содержащий пустой offset.
Учитывая то, что всего можно использовать 11 offset, второй профиль лучше сократить, оставив выборку по ethertype и IP сегмента 0xC0A810.
4 профиль можно убрать и задействовать заместо него config filter dhcp_server.
Вернуться наверх
 Профиль  
 
IvanI
 Заголовок сообщения:
СообщениеДобавлено: Чт сен 30, 2010 23:04 
Не в сети

Зарегистрирован: Сб дек 09, 2006 11:21
Сообщений: 237
Озвучте пожалуста логику выполнения, образование цепочек правил с участием Ethernet, IPv4, IPv6, и Packet Content профилей.
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения:
СообщениеДобавлено: Пт окт 01, 2010 10:53 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Эта тема уже рассматривалась на форуме. Выслал Вам описание
Вернуться наверх
 Профиль  
 
snark
 Заголовок сообщения:
СообщениеДобавлено: Пт окт 01, 2010 11:29 
Не в сети

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13
и мне, если не сложно
repetitio est mater studiorum все же

_________________
с уважением, БП
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения:
СообщениеДобавлено: Пт окт 01, 2010 11:34 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Выслал
Вернуться наверх
 Профиль  
 
IvanI
 Заголовок сообщения:
СообщениеДобавлено: Пт окт 01, 2010 16:06 
Не в сети

Зарегистрирован: Сб дек 09, 2006 11:21
Сообщений: 237
Тайну логики порядка выполнения правил вы так и не обьяснили, добавив 2 профиля с 1 правилом в каждом у меня заработало!
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения:
СообщениеДобавлено: Пт окт 01, 2010 16:12 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Рад слышать, что решили задачу. Касаемо логики выполнения правил на данной серии я Вам высылал на почту графическую схему и прокомментировал ее. Если остались вопросы, задавайте, пожалуйста.
Вернуться наверх
 Профиль  
 
IvanI
 Заголовок сообщения:
СообщениеДобавлено: Пт окт 01, 2010 16:20 
Не в сети

Зарегистрирован: Сб дек 09, 2006 11:21
Сообщений: 237
Ваше виденье что последние правило
Код:
create access_profile  ethernet  source_mac 00-00-00-00-00-00  profile_id 19
config access_profile profile_id 19  add access_id 1  ethernet  source_mac 00-00-00-00-00-00  port 1-24 deny

прибьет арп неверно, вот и спрашиваю какая ЛОГИКА выполнения правил.
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения:
СообщениеДобавлено: Пт окт 01, 2010 16:29 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Почему же неверно, если раньше Вы сами писали:
IvanI писал(а):
На практике выходит что профиль 9 прибивает пакеты прошедшие профиль 2?

Кроме привычного для других серий поведения ACL, есть еще дополнительное условие для DES-3200. Все правила имеющиеся на коммутаторе делятся на содержащие offset и не содержащие, в случае пересечения между группами более приоритетным будет запрещающее правило.
Профиль 2 содержит offset, а 9 профиль не содержит, поэтому у 9-го профиля приоритет будет выше.
Вернуться наверх
 Профиль  
 
IvanI
 Заголовок сообщения:
СообщениеДобавлено: Пт окт 01, 2010 16:35 
Не в сети

Зарегистрирован: Сб дек 09, 2006 11:21
Сообщений: 237
Ну теперь то что было 9 стало 19, и нетрогает больше АРП пропущенный CPM....
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 2
  [ Сообщений: 23 ]  На страницу 1, 2  След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 28

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB