1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Вс июл 27, 2025 03:50

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 4 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
lego_12239
 Заголовок сообщения: des-3526 & access_profile
СообщениеДобавлено: Пт апр 29, 2011 12:42 
Не в сети

Зарегистрирован: Пн июн 21, 2010 17:31
Сообщений: 38
Добрый день.

Делаем привязку абонентов на порту по ip через access_profile и блокировку dhcp-серверов левых. Общая схема упрощённо такая, что сначала делаются разрешения на то, что нужно, а в конце блок всего, что не разрешено. В итоге последнее правило выглядит так:

Код:
create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 6
config access_profile profile_id 6 add access_id auto_assign ethernet source_mac 00:00:00:00:00:00 port 1-24 deny


На некоторых свичах делаем так:

Код:
create access_profile ip source_ip 0.0.0.0 profile_id 6
config access_profile profile_id 6 add access_id auto_assign ip source_ip 0.0.0.0 port 1-24 deny


Есть стойкое ощущение, что в последнем варианте правило не срабатывает на arp'ы.

И ещё вопрос к разработчикам. Какой вариант затрачивает меньше ресурсов? По-идее, если проверка выполняется по смещению в пакете, то быстрее по IP (тупо меньше байт проверять надо), но если для ip перед этим выполняется доп. проверка на то ip ли пакет это + CRC ip заголовка, то получается, что быстрее mac проверить.
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения: Re: des-3526 & access_profile
СообщениеДобавлено: Пт апр 29, 2011 13:42 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Да, последнее правило ARP не затрагивает, что и логично, так как это это IP профиль.
В плане производительности оба варианта одинаковы: в любом случае ACL правила реализованы аппаратно, поэтому задержек их работа не вызывает.
Вернуться наверх
 Профиль  
 
lego_12239
 Заголовок сообщения: Re: des-3526 & access_profile
СообщениеДобавлено: Пт апр 29, 2011 14:33 
Не в сети

Зарегистрирован: Пн июн 21, 2010 17:31
Сообщений: 38
Denis Evgraphov писал(а):
Да, последнее правило ARP не затрагивает, что и логично, так как это это IP профиль.


Так и думал.

Denis Evgraphov писал(а):
В плане производительности оба варианта одинаковы: в любом случае ACL правила реализованы аппаратно, поэтому задержек их работа не вызывает.


Спасибо.
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения: Re: des-3526 & access_profile
СообщениеДобавлено: Пт апр 29, 2011 15:15 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Не за что.
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 4 ] 

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 11

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB