1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Ср июл 09, 2025 23:35

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 5
  [ Сообщений: 66 ]  На страницу 1, 2, 3, 4, 5  След.
  Предыдущая тема | Следующая тема 
Автор Сообщение
mbc44
 Заголовок сообщения: DES-3200-28 revC1 ACL для firmware 4.32
СообщениеДобавлено: Пн окт 08, 2012 08:54 
Не в сети

Зарегистрирован: Пн дек 20, 2010 03:17
Сообщений: 206
Не могу найти файлик по настройке ACL для firmware 4.32. Можно его еще раз выложить?
Вернуться наверх
 Профиль  
 
Artem Kolpakov
 Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32
СообщениеДобавлено: Пн окт 08, 2012 09:13 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
ACL на новых моделях коммутаторов
Изменения в работе ACL DES-3200 C1 начиная с FW 4.32
На днях будет описание некоторых ограничений DES-3200 C1 при работе с профилями 1 и 2 (они содержат системные правила, не видимые пользователю и которые нельзя отредактировать) - также постараюсь выложить его в этой теме.
Вернуться наверх
 Профиль  
 
mbc44
 Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32
СообщениеДобавлено: Пн окт 08, 2012 09:23 
Не в сети

Зарегистрирован: Пн дек 20, 2010 03:17
Сообщений: 206
А старенький файлик (там описывался новый синтаксис для 4.32) можно сейчас пришпилить?
Вернуться наверх
 Профиль  
 
Artem Kolpakov
 Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32
СообщениеДобавлено: Пн окт 08, 2012 09:33 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Отредактировал 2й пост
Вернуться наверх
 Профиль  
 
mbc44
 Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32
СообщениеДобавлено: Пн окт 08, 2012 09:54 
Не в сети

Зарегистрирован: Пн дек 20, 2010 03:17
Сообщений: 206
Нашел! :)
Вот к этому будут дополнения:

Цитата:
Поведение ACL изменено в FW 4.32
Описание обновленного CLI

1. Имя профиля теперь опционально.
2. Зарезервировано под системные нужды по 62 правил у профилей ID 1 Ethernet и ID 2 IP.
3. Для третьего и четвёртого профилей можно задать ID с 1 по 512, но общее кол-во профилей осталось 4-е.
4. Действие drop теперь не приоритетно. Приоритет теперь работает по ID профиля и ID правила, как на старых наших моделях.


?
Вернуться наверх
 Профиль  
 
Artem Kolpakov
 Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32
СообщениеДобавлено: Пн окт 08, 2012 11:49 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Да, как раз по 2му пункту
Вернуться наверх
 Профиль  
 
ya4ya
 Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32
СообщениеДобавлено: Пн окт 08, 2012 13:32 
Не в сети

Зарегистрирован: Вт дек 01, 2009 09:02
Сообщений: 56
Охохо.
Т.е. теперь фактически полностью под наши нужды только 2 профайла?
Зашебись.

А если к примеру включить фичи dhcp screening и ipmb в loose потому как используется 802.1v с pppoe'шкой, то вообще только 1...

Пробуем:
Код:
config filter dhcp_server ports 20 state enable
Success.
config address_binding dhcp_snoop max_entry ports 20 limit 3
Success.
config address_binding ip_mac ports 20 stop_learning_threshold 10
Success.
config address_binding ip_mac ports 20 protocol ipv4
Success.
config address_binding ip_mac ports 20 ip_inspection enable
Success.
config address_binding ip_mac ports 20 arp_inspection loose
Success.
create access_profile profile_id 3 profile_name 3 ....
Success.

create access_profile profile_id 4 profile_name 4 ....
No more hardware resource for this operation.
Вернуться наверх
 Профиль  
 
Artem Kolpakov
 Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32
СообщениеДобавлено: Пн окт 08, 2012 13:58 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
ya4ya
Не будьте столь категоричны - 1 и 2 профиль можно использовать.
По поводу ограничений - давайте дождемся ответа ШК.
Вернуться наверх
 Профиль  
 
ya4ya
 Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32
СообщениеДобавлено: Пн окт 08, 2012 14:35 
Не в сети

Зарегистрирован: Вт дек 01, 2009 09:02
Сообщений: 56
Давайте конечно дождемся.

Но если в первом профайле уже нельзя разрешить всё необходимом в влане с необходимым ethernet_type:
Код:
create access_profile profile_id 1 profile_name 1 ethernet vlan 0xFFF source_mac FF-FF-FF-FF-FF-FF destination_mac FF-FF-FF-FF-FF-FF ethernet_type
config access_profile profile_id 1 add access_id 1 ethernet vlan_id 100 ethernet_type 0x806 port 6 permit

То видимо ответ ШК мало что изменит :)

PCF на 3ем профайле используем под proto, srcip, dstip, dstport
Был бы ещё один offset_chunk можно было бы от dhcp screening'a к примеру отказаться (хотя тоже жалко, так приятно в syslog ругается на dhcp сервера) и использовать 4ый профайл...
Пока только мысли, со скрипом в душе отказаться от srcip (хотя тогда и dstip отпадает), печально, мусор с некоторых сетей наружу хотелось бы резать на порту клиента, а не отпускать выше...

Хорошо, ждем, там будем думать...
Вернуться наверх
 Профиль  
 
mbc44
 Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32
СообщениеДобавлено: Ср окт 10, 2012 09:40 
Не в сети

Зарегистрирован: Пн дек 20, 2010 03:17
Сообщений: 206
Нет вестей?
Вернуться наверх
 Профиль  
 
artemn
 Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32
СообщениеДобавлено: Чт окт 11, 2012 12:16 
Не в сети

Зарегистрирован: Вс май 08, 2005 17:50
Сообщений: 145
Откуда: Санкт-Петербург
Завалил DES-3200-26 C1 FW 4.32.B007

Выполнив 2 раза команду:

Код:
create access_profile profile_id 1 profile_name 1 ethernet source_mac 000000000000
Вернуться наверх
 Профиль  
 
artemn
 Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32
СообщениеДобавлено: Чт окт 11, 2012 12:19 
Не в сети

Зарегистрирован: Вс май 08, 2005 17:50
Сообщений: 145
Откуда: Санкт-Петербург
Правильно ли я понимаю, пользовательские профили теперь имеют наивысший приоритет среди всех, включая системные?
Вернуться наверх
 Профиль  
 
artemn
 Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32
СообщениеДобавлено: Чт окт 11, 2012 12:50 
Не в сети

Зарегистрирован: Вс май 08, 2005 17:50
Сообщений: 145
Откуда: Санкт-Петербург
Арпы ходят, хотя разрешен только один тип 0x800 (ipv4):

Код:
DES-3200-26:admin#show access_profile profile_id 1
Command: show access_profile profile_id 1

Access Profile Table

================================================================================
Profile ID: 1     Profile name: ipv4_allow  Type: Ethernet

MASK on
    Source MAC      : 00-00-00-00-00-00
    Ethernet Type

Available HW Entries : 192
--------------------------------------------------------------------------------
Rule ID : 1       Ports: 1-24

Match on
    Ethernet Type   : 0x800

Action:
    Permit

--------------------------------------------------------------------------------
Rule ID : 2       Ports: 1-24

Match on
    Source MAC      : 00-00-00-00-00-00  Mask : 00-00-00-00-00-00

Action:
    Deny

================================================================================
Вернуться наверх
 Профиль  
 
ya4ya
 Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32
СообщениеДобавлено: Чт окт 11, 2012 13:09 
Не в сети

Зарегистрирован: Вт дек 01, 2009 09:02
Сообщений: 56
artemn
Есть мнение (до сих пор не подтвержденное) что первый профайл не работает с эзертайпом, смотрите мой пример http://forum.dlink.ru/viewtopic.php?f=2&t=154954#p832763
Вернуться наверх
 Профиль  
 
mbc44
 Заголовок сообщения: Re: DES-3200-28 revC1 ACL для firmware 4.32
СообщениеДобавлено: Пт окт 12, 2012 13:35 
Не в сети

Зарегистрирован: Пн дек 20, 2010 03:17
Сообщений: 206
Что-то долго китайцы думают, наверное не хотят выдавать военную тайну :).
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 5
  [ Сообщений: 66 ]  На страницу 1, 2, 3, 4, 5  След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 65

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB