Здравствуйте, сегодня возникла необходимость удалить ACL профили с устройства D-Link DES-3028 (F/W: 2.80.b08). Набор загруженных ACL такой:
Код:
create access_profile ethernet ethernet_type source_mac 00-00-00-00-00-00 profile_id 1
create access_profile ip tcp dst_port_mask 0xFFFF profile_id 2
config access_profile profile_id 2 add access_id auto_assign ip tcp dst_port 135 port 1-28 deny
config access_profile profile_id 2 add access_id auto_assign ip tcp dst_port 137 port 1-28 deny
config access_profile profile_id 2 add access_id auto_assign ip tcp dst_port 139 port 1-28 deny
config access_profile profile_id 2 add access_id auto_assign ip tcp dst_port 445 port 1-28 deny
config access_profile profile_id 2 add access_id auto_assign ip tcp dst_port 2869 port 1-28 deny
config access_profile profile_id 2 add access_id auto_assign ip tcp dst_port 3587 port 1-28 deny
config access_profile profile_id 2 add access_id auto_assign ip tcp dst_port 3702 port 1-28 deny
config access_profile profile_id 2 add access_id auto_assign ip tcp dst_port 5000 port 1-28 deny
config access_profile profile_id 2 add access_id auto_assign ip tcp dst_port 5355 port 1-28 deny
config access_profile profile_id 2 add access_id auto_assign ip tcp dst_port 5357 port 1-28 deny
config access_profile profile_id 2 add access_id auto_assign ip tcp dst_port 5358 port 1-28 deny
create access_profile ip udp dst_port_mask 0xFFFF profile_id 3
config access_profile profile_id 3 add access_id auto_assign ip udp dst_port 135 port 1-28 deny
config access_profile profile_id 3 add access_id auto_assign ip udp dst_port 137 port 1-28 deny
config access_profile profile_id 3 add access_id auto_assign ip udp dst_port 138 port 1-28 deny
config access_profile profile_id 3 add access_id auto_assign ip udp dst_port 213 port 1-28 deny
config access_profile profile_id 3 add access_id auto_assign ip udp dst_port 445 port 1-28 deny
config access_profile profile_id 3 add access_id auto_assign ip udp dst_port 1900 port 1-28 deny
config access_profile profile_id 3 add access_id auto_assign ip udp dst_port 3540 port 1-28 deny
config access_profile profile_id 3 add access_id auto_assign ip udp dst_port 3587 port 1-28 deny
config access_profile profile_id 3 add access_id auto_assign ip udp dst_port 3702 port 1-28 deny
config access_profile profile_id 3 add access_id auto_assign ip udp dst_port 5355 port 1-28 deny
create access_profile ethernet ethernet_type profile_id 4
config access_profile profile_id 4 add access_id auto_assign ethernet ethernet_type 0x86DD port 1-28 deny
create access_profile ethernet ethernet_type profile_id 5
config access_profile profile_id 5 add access_id auto_assign ethernet ethernet_type 0x806 port 1-24 permit rx_rate 64
create access_profile ip dscp profile_id 6
config access_profile profile_id 6 add access_id 1 ip dscp 56 port 25-28 permit priority 7
create access_profile ip destination_ip_mask 240.0.0.0 profile_id 7
config access_profile profile_id 7 add access_id auto_assign ip destination_ip 224.0.0.0 port 1-24 deny
create access_profile ip destination_ip_mask 0.0.0.0 profile_id 8
config access_profile profile_id 8 add access_id auto_assign ip destination_ip 0.0.0.0 port 1-24 permit
create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 9
config access_profile profile_id 9 add access_id auto_assign ethernet source_mac 00-00-00-00-00-00 port 1-24 deny
#CPU ACL
enable cpu_interface_filtering
create cpu access_profile profile_id 1 ip destination_ip_mask 255.255.248.0
config cpu access_profile profile_id 1 add access_id 1 ip destination_ip 239.1.8.0 port 1-24 permit
create cpu access_profile profile_id 2 ip destination_ip_mask 240.0.0.0
config cpu access_profile profile_id 2 add access_id 1 ip destination_ip 224.0.0.0 port 1-24 deny
Перед удалением решил проверить какие ацл есть на коммутаторе:
Код:
sh conf cur inc "acce"
create access_profile ethernet source_mac 00-00-00-00-00-00 ethernet_type profile_id 1
create access_profile ip tcp dst_port 0xFFFF profile_id 2
config access_profile profile_id 2 add access_id 1 ip tcp dst_port 135 port 1-28 deny
config access_profile profile_id 2 add access_id 2 ip tcp dst_port 137 port 1-28 deny
config access_profile profile_id 2 add access_id 3 ip tcp dst_port 139 port 1-28 deny
config access_profile profile_id 2 add access_id 4 ip tcp dst_port 445 port 1-28 deny
config access_profile profile_id 2 add access_id 5 ip tcp dst_port 2869 port 1-28 deny
config access_profile profile_id 2 add access_id 6 ip tcp dst_port 3587 port 1-28 deny
config access_profile profile_id 2 add access_id 7 ip tcp dst_port 3702 port 1-28 deny
config access_profile profile_id 2 add access_id 8 ip tcp dst_port 5000 port 1-28 deny
config access_profile profile_id 2 add access_id 9 ip tcp dst_port 5355 port 1-28 deny
config access_profile profile_id 2 add access_id 10 ip tcp dst_port 5357 port 1-28 deny
config access_profile profile_id 2 add access_id 11 ip tcp dst_port 5358 port 1-28 deny
create access_profile ethernet ethernet_type profile_id 4
config access_profile profile_id 4 add access_id 1 ethernet ethernet_type 0x86DD port 1-28 deny
create access_profile ip dscp profile_id 6
config access_profile profile_id 6 add access_id 1 ip dscp 56 port 25-28 permit priority 7
create access_profile ip destination_ip 240.0.0.0 profile_id 7
config access_profile profile_id 7 add access_id 1 ip destination_ip 224.0.0.0 port 1-24 deny
create access_profile ip destination_ip 0.0.0.0 profile_id 8
config access_profile profile_id 8 add access_id 1 ip destination_ip 0.0.0.0 port 1-24 permit
create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 9
config access_profile profile_id 9 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-24 deny
create cpu access_profile profile_id 1 ip destination_ip 255.255.248.0
config cpu access_profile profile_id 1 add access_id 1 ip destination_ip 239.1.8.0 port 1-24 permit
create cpu access_profile profile_id 2 ip destination_ip 240.0.0.0
config cpu access_profile profile_id 2 add access_id 1 ip destination_ip 224.0.0.0 port 1-24 deny
И сразу возник вопрос где профили №3 и №5? Дальше сделал команду
Код:
del acce all
после чего выполнил команду
Код:
sh acce
и, о, чудо!
Код:
Access Profile Table
================================================================================
Profile ID: 3 Type: Packet Content Frame Filter
================================================================================
Owner: ARP Spoofing
Masks Option
Offset Payload
------ -------------------------------------
00-15 0x00000000 0000FFFF FFFFFFFF FFFF0000
16-31 0xFFFF0000 00000000 00000000 FFFFFFFF
32-47 0xFFFFFFFF 00000000 00000000 00000000
48-63 0x00000000 00000000 00000000 00000000
64-79 0x00000000 00000000 00000000 00000000
--------------------------------------------------------------------------------
Access ID : 1
Ports : 1-28
Mode : Permit
Offset Payload Mask
------ ---------- ----------
6 0x000d662c 0xffffffff
10 0x14ca0806 0xffffffff
28 0xac114001 0xffffffff
--------------------------------------------------------------------------------
Access ID : 2
Ports : 1-28
Mode : Permit
Offset Payload Mask
------ ---------- ----------
6 0x000d662c 0xffffffff
10 0x14ca8100 0xffffffff
16 0x08060000 0xffff0000
32 0xac114001 0xffffffff
================================================================================
Profile ID: 5 Type: Packet Content Frame Filter
================================================================================
Owner: ARP Spoofing
Masks Option
Offset Payload
------ -------------------------------------
00-15 0x00000000 00000000 00000000 FFFF0000
16-31 0xFFFF0000 00000000 00000000 FFFFFFFF
32-47 0xFFFFFFFF 00000000 00000000 00000000
48-63 0x00000000 00000000 00000000 00000000
64-79 0x00000000 00000000 00000000 00000000
--------------------------------------------------------------------------------
Access ID : 1
Ports : 1-28
Mode : Deny
Offset Payload Mask
------ ---------- ----------
10 0x00000806 0x0000ffff
28 0xac114001 0xffffffff
--------------------------------------------------------------------------------
Access ID : 2
Ports : 1-28
Mode : Deny
Offset Payload Mask
------ ---------- ----------
10 0x00008100 0x0000ffff
16 0x08060000 0xffff0000
32 0xac114001 0xffffffff
================================================================================
Появились профили №3 и №5. Но почему-то они стали PCF профилями, почему? Решил удалить их по отдельности, но они не удаляются
Код:
DES-3028:5#del acce pro 3
Command: delete access_profile profile_id 3
The profile is not owned by ACL
Fail!
Возникает вопрос кому тогда "owned" этот ACL профиль, если не ACL? Если посмотреть еще раз конфиг свитча на предмет ACL то видим следующее:
Код:
DES-3028:5#sh conf cur inc "acce"
Command: show config current_config include "acce"
create cpu access_profile profile_id 1 ip destination_ip 255.255.248.0
config cpu access_profile profile_id 1 add access_id 1 ip destination_ip 239.1.8.0 port 1-24 permit
create cpu access_profile profile_id 2 ip destination_ip 240.0.0.0
config cpu access_profile profile_id 2 add access_id 1 ip destination_ip 224.0.0.0 port 1-24 deny
Итого, прошу ответить на несколько вопросов:
1. Куда пропали два профиля из конфига свитча?
2. Почему пропавшие профили сменили внезапно тип с IPv4 Frame Filter - UDP и Ethernet Frame Filter на Packet Content Frame Filter?
3. Кому стали принадлежать ACL профили?
4. Что делать чтоб такого не происходило?
Вход
Регистрация
FAQ
Поиск
и по прежнему профили не принадлежат ACL. Лично мне все это кажется очень и очень странным.