1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Вт июл 22, 2025 22:19

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 9 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
jakal
 Заголовок сообщения: DES-3028, ACL, DHCP и IP Broadcast
СообщениеДобавлено: Чт дек 23, 2010 13:48 
Не в сети

Зарегистрирован: Вс фев 28, 2010 17:47
Сообщений: 10
Здравствуйте.
Столкнулись с следующей проблемой.
На свитчах DES-3028 набором правил ACL выполняется:
1. Разрешение ответов от DHCP сервера на аплинковом порту.
2. Блокировка ответов от DHCP сервера на абонентских портах.
3. Разрешение на всех портах пакетов ARP.
4. Запрещение на всех портах IP Broadcast.

На прошивке 2.52.B02 все работает без проблем.
На свитчах с прошивкой 2.53.B04, с тем же набором правил, происходит блокировка всего IP Broadcast трафика.

Ниже текст ACL.

create access_profile ip udp src_port 0xFFFF profile_id 1
config access_profile profile_id 1 add access_id 1 ip udp src_port 67 port 25 permit rx_rate no_limit
config access_profile profile_id 1 add access_id 2 ip udp src_port 67 port 1-24,26-28 deny
create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type profile_id 2
config access_profile profile_id 2 add access_id 1 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x806 port 1-28 permit rx_rate no_limit
config access_profile profile_id 2 add access_id 2 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x800 port 1-28 deny
Вернуться наверх
 Профиль  
 
Alexandr Zaitsev
 Заголовок сообщения: Re: DES-3028, ACL, DHCP и IP Broadcast
СообщениеДобавлено: Пт дек 24, 2010 13:28 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow
Выслал Вам последнюю прошивку, на ней я не смог воспроизвести проблему.
Вернуться наверх
 Профиль  
 
jakal
 Заголовок сообщения: Re: DES-3028, ACL, DHCP и IP Broadcast
СообщениеДобавлено: Пн дек 27, 2010 13:05 
Не в сети

Зарегистрирован: Вс фев 28, 2010 17:47
Сообщений: 10
Перешил. Перегрузил. Добавил правило
config access_profile profile_id 2 add access_id 2 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x800 port 1-28 deny

и DHCP пакеты перестали проходить.
Вернуться наверх
 Профиль  
 
Alexandr Zaitsev
 Заголовок сообщения: Re: DES-3028, ACL, DHCP и IP Broadcast
СообщениеДобавлено: Пн дек 27, 2010 14:05 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow
Рад слышать.
Вернуться наверх
 Профиль  
 
jakal
 Заголовок сообщения: Re: DES-3028, ACL, DHCP и IP Broadcast
СообщениеДобавлено: Пн дек 27, 2010 14:12 
Не в сети

Зарегистрирован: Вс фев 28, 2010 17:47
Сообщений: 10
Не вижу причин для радости. DHCP проходить обязан. А он блокируется.
Вернуться наверх
 Профиль  
 
Alexandr Zaitsev
 Заголовок сообщения: Re: DES-3028, ACL, DHCP и IP Broadcast
СообщениеДобавлено: Пн дек 27, 2010 14:24 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow
Вы уточните, другие правила были или только одно?
config access_profile profile_id 2 add access_id 2 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x800 port 1-28 deny
Вернуться наверх
 Профиль  
 
jakal
 Заголовок сообщения: Re: DES-3028, ACL, DHCP и IP Broadcast
СообщениеДобавлено: Пн дек 27, 2010 14:28 
Не в сети

Зарегистрирован: Вс фев 28, 2010 17:47
Сообщений: 10
Вот полный набор правил:

create access_profile ip udp src_port 0xFFFF profile_id 1
config access_profile profile_id 1 add access_id 1 ip udp src_port 67 port 25 permit rx_rate no_limit
config access_profile profile_id 1 add access_id 2 ip udp src_port 67 port 1-24,26-28 deny
create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type profile_id 2
config access_profile profile_id 2 add access_id 1 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x806 port 1-28 permit rx_rate no_limit
config access_profile profile_id 2 add access_id 2 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x800 port 1-28 deny

Предполагается, что в результате DHCP работать будет, но весь остальной IP broadcast проходить перестанет.
Вернуться наверх
 Профиль  
 
Alexandr Zaitsev
 Заголовок сообщения: Re: DES-3028, ACL, DHCP и IP Broadcast
СообщениеДобавлено: Пн дек 27, 2010 15:03 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow
Не вижу разрешающего правила для DHCP запросов. Разрешите src_port 68
config access_profile profile_id 1 add access_id 3 ip udp src_port 68 port 1-24,26-28 permit rx_rate no_limit
Вернуться наверх
 Профиль  
 
jakal
 Заголовок сообщения: Re: DES-3028, ACL, DHCP и IP Broadcast
СообщениеДобавлено: Ср дек 29, 2010 11:41 
Не в сети

Зарегистрирован: Вс фев 28, 2010 17:47
Сообщений: 10
Действительно. Правила для прохождения DHCP запросов с абонентских портов отсутствовало. Даже непонятно, как этот набор работал на предыдущей версии прошивки.
Спасибо за помощь.
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 9 ] 

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 44

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB