Denis Evgraphov писал(а):
Правило должно не просто быть типа PCF, но и содержать offset, то есть:
Код:
create access_profile packet_content_mask destination_mac FF-FF-FF-FF-FF-FF profile_id 6
config access_profile profile_id 6 add access_id 1 packet_content destination_mac FF-FF-FF-FF-FF-FF port 1-10 permit
Нужно заменить на:
Код:
create access_profile packet_content_mask destination_mac FF-FF-FF-FF-FF-FF offset1 l2 0 0x0 profile_id 6
config access_profile profile_id 6 add access_id 1 packet_content destination_mac FF-FF-FF-FF-FF-FF offset1 0x0 port 1-10 permit
Спасибо, теперь понял. Условие, конечно, не из приятных.. И так еле-еле убрался в 10 offset после "модернизации" ACL, этот получится 11-м..
Denis Evgraphov писал(а):
Да, можно как я уже писал в профиле анонсировать больше offset, чем использовать в правиле + применить параметр mask в самом правиле, там где это нужно.
А там, где не требуется проверка, указывать значение и маску надо, или можно просто пропустить эти offset?
Например, как будет правильно? Так -
Код:
create access_profile packet_content_mask destination_mac FF-FF-FF-FF-FF-FF source_mac FF-FF-FF-FF-FF-FF offset1 l3 8 0xFF offset2 l3 12 0xFFFF offset3 l3 1 4 0xFFFF offset4 l3 16 0xFFFF offset5 l3 18 0xFFFF offset6 l4 2 0xFFFF profile_id 8
# DNS
config access_profile profile_id 8 add access_id auto_assign packet_content destination_mac 00-00-00-00-00-00 mask 00-00-00-00-00-00 source_mac 00-00-00-00-00-00 mask 00-00-00-00-00-00 offset1 0x0011 mask 0x00ff offset2 0x0 mask 0x0 offset3 0x0 mask 0x0 offset4 0x3e21 mask 0xffff offset5 0x3121 mask 0xffff offset6 0x0035 mask 0xffff port 1-9 permit
или так -
Код:
create access_profile packet_content_mask destination_mac FF-FF-FF-FF-FF-FF source_mac FF-FF-FF-FF-FF-FF offset1 l3 8 0xFF offset2 l3 12 0xFFFF offset3 l3 1 4 0xFFFF offset4 l3 16 0xFFFF offset5 l3 18 0xFFFF offset6 l4 2 0xFFFF profile_id 8
# DNS
config access_profile profile_id 8 add access_id auto_assign packet_content offset1 0x0011 mask 0x00ff offset4 0x3e21 mask 0xffff offset5 0x3121 mask 0xffff offset6 0x0035 mask 0xffff port 1-9 permit
Или одинаково верно?