1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Чт июл 24, 2025 05:47

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 3 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
Aldar
 Заголовок сообщения: DES-3528 - ACL и IMB
СообщениеДобавлено: Вт окт 12, 2010 20:02 
Не в сети

Зарегистрирован: Вт окт 12, 2010 19:43
Сообщений: 17
Используем des-3526 и des-3028 в качестве свитчей доступа, фильтруя с помощью аппаратных ACL на основе packet_content_mask . В поисках замены взяли на пробу des-3528, большей частью из-за количества ACL на устройстве. При конфигурации обнаружилось, что больше 1 группы с PCF фильтром создать невозможно. Т.е. получается больше 128 "рабочих" правил в один коммутатор не влезает, что даже меньше чем на 3028. Странно, что в документации нигде об этом не сказано, что свитч может создать только 1 группу PCF. Или написано, но я пропустил?

И возник вопрос относительно IP-MAC port binding. Если конфигурировать его в режиме acl вместе с предварительно заданными ACL правилами (скажем, огранизовывать таким образом доступ к узлам сети, даже если нет разрешающей записи в IMPB), как дать предварительно созданным ACL-правилам преобладание над правилами IPMB? Как не крутил, выходит, что свитч без разрешающей записи вообще не пропускает пакеты.

Если такой функционал невозможен, есть ли другие средства в des-3528, позволяющие реализовать привязку нескольких пар ip-mac к порту свитча?
Вернуться наверх
 Профиль  
 
Alexandr Zaitsev
 Заголовок сообщения:
СообщениеДобавлено: Ср окт 13, 2010 15:34 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow
Цитата:
Странно, что в документации нигде об этом не сказано, что свитч может создать только 1 группу PCF. Или написано, но я пропустил?

Мануал, страница 216:
Цитата:
Note: Only one packet_content_mask profile can be created.

К сожалению это так.

Цитата:
Если такой функционал невозможен, есть ли другие средства в des-3528, позволяющие реализовать привязку нескольких пар ip-mac к порту свитча?

Коммутатор позволяет добавлять на порт несколько ip-mac привязок через
Код:
create address_binding ip_mac ...
Вернуться наверх
 Профиль  
 
Aldar
 Заголовок сообщения:
СообщениеДобавлено: Ср окт 13, 2010 16:11 
Не в сети

Зарегистрирован: Вт окт 12, 2010 19:43
Сообщений: 17
Alexandr Zaitsev писал(а):
Коммутатор позволяет добавлять на порт несколько ip-mac привязок через
Код:
create address_binding ip_mac ...


Пожалуй, я не совсем ясно выразился. При использовании ACL в des-3526\des-3028 профиль с PCF использовался для фильтрации абонентских точек по паре ip-mac. Но даже если разрешающее правило для абонента отсутствовало, все равно были доступны некоторые узлы сети. Реализовано было так:

Код:
# Всегда пропускать на указанные адреса
create access_profile ip destination_ip_mask 255.255.255.255 profile_id 2
config access_profile profile_id 2 add access_id auto_assign ip destination_ip 10.1.0.1 port 1-24 permit
config access_profile profile_id 2 add access_id auto_assign ip destination_ip 10.1.0.2 port 1-24 permit
....

# Указанным мак-адресам всегда разрешать\запрещать
create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF profile_id 3
config access_profile profile_id 3 add access_id auto_assign ethernet source_mac 00-1D-60-F4-A5-69 port 1-24 permit
....


# Разрешать пакеты на указанные мак-адреса и разрешать broadcast
create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF profile_id 4
config access_profile profile_id 4 add access_id auto_assign ethernet destination_mac 00-14-2A-67-12-61 port 1-24 permit
....
config access_profile profile_id 4 add access_id auto_assign ethernet
destination_mac FF-FF-FF-FF-FF-FF port 1-24 permit

# Фильтрация ip-mac
create access_profile packet_content_mask offset_0-15  0x0  0xFFFF  0xFFFFFFFF  0x0 offset_16-31  0x0  0x0  0x0  0xFFFF offset_32-47  0xFFFF0000  0x0  0x0  0x0 profile_id 6
....

# Разрешенные ip-адреса, для которых еще не известен mac
create access_profile ip source_ip_mask 255.255.255.255 profile_id 7
config access_profile profile_id 7 add access_id auto_assign ip source_ip 10.10.0.1 port 1 permit

# Все остальное не пропускать
create access_profile ip source_ip_mask 0.0.0.0 profile_id 8
config access_profile profile_id 8 add access_id auto_assign ip source_ip 0.0.0.0 port 1-24 deny


Если на des-3528 я такую же схему ACL использую вместе с IMPB (не создавая профили 6 и 8, в них нет смысла), то с портов 1-24 при включенном на них IMPB в режиме acl я не получаю доступ на узлы, указанные в ацл профиле 2. Хотя если смотреть вывод show access_profile , видно что профиль с правилами IMPB создается под номером 14. В мануале указано, что порядок обхода - от меньшего номера правила к большему и от меньшего номера профиля к большему.

Или правила IMPB всегда выше по приоритету относительно созданных вручную?
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 3 ] 

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 84

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB