1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Пн ноя 03, 2025 23:53

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 2
  [ Сообщений: 30 ]  На страницу 1, 2  След.
  Предыдущая тема | Следующая тема 
Автор Сообщение
Dyr
СообщениеДобавлено: Ср июн 13, 2012 15:08 
Не в сети

Зарегистрирован: Пн сен 18, 2006 11:17
Сообщений: 270
Откуда: SPb
По следам этой темы.

На "старой" ревизии B1 у нас существовали ACLки, которые разрешали по 8 ip-адресов на порт. Адреса выдаются через option_82 с DHCP Relay и привязаны, таким
образом, к порту. Клиенты могут настраивать себе адреса из своего диапазона и статикой (так что только DHCP Snooping в данном случае, как я понимаю, не поможет).

Пример правила для порта под 3200-28 B1:
Код:
 
# Allow ARP with user's ip-addresses (/29 per port)
create access_profile  packet_content_mask   offset1 l2 0 0xFFFF  offset2 l2 16 0xFFFF  offset3 l2 18 0xFFF8  profile_id 252

# Allow user's ip-addresses (/29 per port)
create access_profile  ip  source_ip 255.255.255.248  profile_id 253

# Common rule: deny any other ARP
create access_profile  packet_content_mask   offset1 l2 0 0xFFFF  profile_id 254

# Common rule: Deny any other IP
create access_profile  ip  source_ip 0.0.0.0  profile_id 255

# 10.53.114.8/29 at port 1
config access_profile profile_id 252  add access_id 1  packet_content   offset1 0x0806 offset2 0x0A35 offset3 0x7208 port 1 permit
config access_profile profile_id 253  add access_id 1  ip  source_ip 10.53.114.8  port 1 permit
config access_profile profile_id 254  add access_id 1  packet_content   offset1 0x0806 port 1 deny
config access_profile profile_id 255  add access_id 1  ip  source_ip 0.0.0.0  port 1 deny



Попытка "переложения" правил на 3200-28 C1 лад:
Код:
# Allow ARP with user's ip-addresses (/29 per port)
create access_profile profile_id 1 profile_name allow_arp_ip packet_content_mask offset_chunk_1 3 0x0000FFFF offset_chunk_2 7 0x0000FFFF offset_chunk_3 8 0xFFF80000

# Allow user's ip-addresses (/29 per port)
create access_profile profile_id 2 profile_name allow_ip ip source_ip_mask 255.255.255.248

# Common rule: deny any ARP
create access_profile profile_id 3 profile_name deny_any_arp ethernet ethernet_type

# Common rule: Deny any IP
create access_profile profile_id 4 profile_name deny_any_ip ip source_ip_mask 000.000.000.000

# Allow ARP with sender ip net 10.53.129.8 at port 1
config access_profile profile_id 1 add access_id 1 packet_content offset_chunk_1 0x0000806 offset_chunk_2 0x00000A35 offset_chunk_3 0x81080000 port 1 permit counter enable

# Allow IP packets with ip net 10.53.129.8 at port 1
config access_profile profile_id 2 add access_id 1 ip source_ip 10.53.129.8 port 1 permit

# Deny any other ARP at port 1
config access_profile profile_id 3 add access_id 1 ethernet ethernet_type 0x0806 port 1 deny

# Deny any other IP at port 1
config access_profile profile_id 4 add access_id 1 ip source_ip 000.000.000.000 port 1 deny


Проблема с C1 заключается в том, что dhcp_relay отрабатывает теперь не до ACL, а после, так что без удаления "обще-"запрещающего правила DHCP-запрос от пользователя даже не проходит.
Что можно сделать в данной ситуации? IPMB отметаем из-за нежелания "привязываться" к MAC'ам пользователя на уровне коммутатора.
Вернуться наверх
 Профиль  
 
Gerasimello
СообщениеДобавлено: Пт июн 15, 2012 13:37 
Не в сети

Зарегистрирован: Вт окт 24, 2006 22:25
Сообщений: 114
Есть 3200-28/C1, стоит следующая простейшая задача.
1. Разрешить прохождение на портах 1-24 от абонентов пакетов только на подсеть 10.0.0.0/8
2. Запретить прохождение пакетов на прочие IP-адреса.
С новым синтаксисом ревизии C1 не могу догнать как это сделать. :roll:
Вернуться наверх
 Профиль  
 
Gerasimello
СообщениеДобавлено: Пн июн 18, 2012 10:42 
Не в сети

Зарегистрирован: Вт окт 24, 2006 22:25
Сообщений: 114
Всё еще актуально.
Вернуться наверх
 Профиль  
 
Artem Kolpakov
СообщениеДобавлено: Пн июн 18, 2012 12:32 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Dyr
Какой смысл использовать dhcp_relay, если пользователи все равно себе могут выставлять ip адреса вручную?
Используйте IMPB совместно с DHCP Snooping - вам не нужно будет прописывать mac адреса на коммутаторе, но в то же время пользователи не смогут выбирать себе ip адреса не из разрешенного на DHCP сервере диапазона.
Gerasimello
Приведите пример написанных вами правил для rev.C1
Вернуться наверх
 Профиль  
 
Gerasimello
СообщениеДобавлено: Пн июн 18, 2012 13:29 
Не в сети

Зарегистрирован: Вт окт 24, 2006 22:25
Сообщений: 114
Artem Kolpakov писал(а):
Dyr
Приведите пример написанных вами правил для rev.C1

Например, вот так:
Код:
create access_profile  profile_id 2 profile_name ip_local ip  destination_ip_mask 255.0.0.0
config access_profile profile_id 2  add access_id 1  ip  destination_ip 10.0.0.0  port 1-24 permit

create access_profile  profile_id 3 profile_name ip_deny_all ip  destination_ip_mask 0.0.0.0
config access_profile profile_id 3  add access_id 1  ip  destination_ip 0.0.0.0  port 1-24 deny
Вернуться наверх
 Профиль  
 
Artem Kolpakov
СообщениеДобавлено: Пн июн 18, 2012 14:21 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Если еще не читали - почитайте, пожалуйста, презентацию.
В соответствии с этими особенностями отредактируйте свои правила.
Поведение менять не планируется - это особенность нового чипсета.
Вернуться наверх
 Профиль  
 
Gerasimello
СообщениеДобавлено: Пн июн 18, 2012 14:41 
Не в сети

Зарегистрирован: Вт окт 24, 2006 22:25
Сообщений: 114
Artem Kolpakov писал(а):
Если еще не читали - почитайте, пожалуйста, презентацию.

Да читал уже, долго думал, затем опять читал. Как понял, мой случай попадает под "Пример 3 - Соответствие нескольким правилам ACL нескольких профилей".
Artem Kolpakov писал(а):
В соответствии с этими особенностями отредактируйте свои правила.
Поведение менять не планируется - это особенность нового чипсета.

Я то отредактирую, если пойму как. Вы мне просто скажите, нужный мне ACL можно создать в принципе на рев. С1? Судя по ответу, что "поведение менять не планируется", я понимаю, что у меня после переходя на С1 появились проблемы. :cry:
Вернуться наверх
 Профиль  
 
Artem Kolpakov
СообщениеДобавлено: Пн июн 18, 2012 15:25 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Код:
create access_profile  profile_id 1 profile_name ip_local ip  destination_ip_mask 255.0.0.0
config access_profile profile_id 1  add access_id 1  ip  destination_ip 10.0.0.0  port 1-24 permit
config access_profile profile_id 1 add access_id 2 ip destination_ip 0.0.0.0 mask 0.0.0.0 port 1-24 deny
Вернуться наверх
 Профиль  
 
Gerasimello
СообщениеДобавлено: Вт июн 19, 2012 11:35 
Не в сети

Зарегистрирован: Вт окт 24, 2006 22:25
Сообщений: 114
Artem Kolpakov писал(а):
Код:
create access_profile  profile_id 1 profile_name ip_local ip  destination_ip_mask 255.0.0.0
config access_profile profile_id 1  add access_id 1  ip  destination_ip 10.0.0.0  port 1-24 permit
config access_profile profile_id 1 add access_id 2 ip destination_ip 0.0.0.0 mask 0.0.0.0 port 1-24 deny

Похоже работает. :wink: Спасибо огроменное. Но остались еще вопросы. Сейчас еще сам покручу поверчу. Если не разберусь, то спрошу.
Вернуться наверх
 Профиль  
 
Dyr
СообщениеДобавлено: Пн июл 09, 2012 00:35 
Не в сети

Зарегистрирован: Пн сен 18, 2006 11:17
Сообщений: 270
Откуда: SPb
Artem Kolpakov писал(а):
Dyr
Какой смысл использовать dhcp_relay, если пользователи все равно себе могут выставлять ip адреса вручную?

В том, что пользователи могут по желанию отказаться от использования dhcp и прописать себе адреса статикой. При этом диапазон разрешённых адресов жёстко привязывается к порту ACL'ками.
Цитата:
Используйте IMPB совместно с DHCP Snooping - вам не нужно будет прописывать mac адреса на коммутаторе, но в то же время пользователи не смогут выбирать себе ip адреса не из разрешенного на DHCP сервере диапазона.

А можно пример, как это будет работать? А то я до сих пор представлял, что это взаимоисключающие вещи, и к тому же не защищающие от ARP-спуфинга.
Вернуться наверх
 Профиль  
 
Artem Kolpakov
СообщениеДобавлено: Пн июл 09, 2012 08:21 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Работает следующим образом.
Клиент получает ip по DHCP, при прохождении ACK коммутатор динамически создает разрешающую связку на порту.
На DHCP сервере регулируете, какие ip адреса клиент получить может, а какие - нет.
Если на порту включен IMPB, то невалидные arp пакеты будут блокироваться.
Вернуться наверх
 Профиль  
 
Tupik
СообщениеДобавлено: Пт июл 20, 2012 11:29 
Не в сети

Зарегистрирован: Вс июн 26, 2011 18:56
Сообщений: 18
А как быть с конвертацией pcf acl, если на старой ревизии необходимые условия были заданы тремя профилями и при попытках свести три профиля в один они в нём не помещаются?

Было вот так:
Скрытый текст: показать
Код:
create access_profile packet_content_mask offset1 l2 0 0xFFFF offset2 l3 8 0xFF offset3 l4 0 0xFFFC profile_id 10
config access_profile profile_id 10 add access_id 1 packet_content offset1 0x0800 offset2 0x0011 offset3 0x0040 port 1-24 deny
config access_profile profile_id 10 add access_id 2 packet_content offset1 0x0800 offset2 0x0011 offset3 0x0088 port 1-24 deny
config access_profile profile_id 10 add access_id 3 packet_content offset1 0x0800 offset2 0x0011 offset3 0x01bc port 1-24 deny
config access_profile profile_id 10 add access_id 4 packet_content offset1 0x0800 offset2 0x0006 offset3 0x0084 port 1-24 deny
config access_profile profile_id 10 add access_id 5 packet_content offset1 0x0800 offset2 0x0006 offset3 0x0088 port 1-24 deny
config access_profile profile_id 10 add access_id 6 packet_content offset1 0x0800 offset2 0x0006 offset3 0x01bc port 1-24 deny
config access_profile profile_id 10 add access_id 7 packet_content offset1 0x0800 offset2 0x0001 offset3 0x0800 port 1-24 deny
config access_profile profile_id 10 add access_id 8 packet_content offset1 0x0800 offset2 0x0001 offset3 0x0000 port 1-24 deny
create access_profile packet_content_mask offset1 l2 0 0xFFFF offset2 l3 8 0xFF offset3 l4 2 0xFFFC profile_id 20
config access_profile profile_id 20 add access_id 1 packet_content offset1 0x0800 offset2 0x0011 offset3 0x0040 port 1-28 permit priority 5 replace_priority
config access_profile profile_id 20 add access_id 2 packet_content offset1 0x0800 offset2 0x0011 offset3 0x0034 port 1-28 permit priority 5 replace_priority
config access_profile profile_id 20 add access_id 3 packet_content offset1 0x0800 offset2 0x0011 offset3 0x0088 port 1-24 deny
config access_profile profile_id 20 add access_id 4 packet_content offset1 0x0800 offset2 0x0011 offset3 0x01bc port 1-24 deny
config access_profile profile_id 20 add access_id 5 packet_content offset1 0x0800 offset2 0x0006 offset3 0x0084 port 1-24 deny
config access_profile profile_id 20 add access_id 6 packet_content offset1 0x0800 offset2 0x0006 offset3 0x0088 port 1-24 deny
config access_profile profile_id 20 add access_id 7 packet_content offset1 0x0800 offset2 0x0006 offset3 0x01bc port 1-24 deny
create access_profile packet_content_mask offset1 l2 0 0xFFFF  offset2 l3 0 0xFF  profile_id 50
config access_profile profile_id 50 add access_id 1 packet_content offset1 0x8864 offset2 0x0000 port 1-28 permit priority 4 replace_priority
config access_profile profile_id 50 add access_id 2 packet_content offset1 0x8863 offset2 0x0007 port 25-28 permit priority 5 replace_priority
config access_profile profile_id 50 add access_id 3 packet_content offset1 0x8863 offset2 0x0007 port 1-24 deny
disable cpu_interface_filtering
Вернуться наверх
 Профиль  
 
Artem Kolpakov
СообщениеДобавлено: Пт июл 20, 2012 12:58 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Какие правила вы написали и что у вас не получилось?
Вернуться наверх
 Профиль  
 
Tupik
СообщениеДобавлено: Пт июл 20, 2012 14:37 
Не в сети

Зарегистрирован: Вс июн 26, 2011 18:56
Сообщений: 18
Я пока не могу понять как обьеденить эти профили в один. С чем,собственно и сложность. Насколько я понял пунктов offset может быть по цифрам не более четырёх, а у меня рассматриваются в трёх профилях их минимум 5.
Вернуться наверх
 Профиль  
 
Artem Kolpakov
СообщениеДобавлено: Пт июл 20, 2012 14:58 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Вам вовсе необязательно использовать pcf - многие правила можно описать ip профилем с указанием портов tcp udp, да и можно перераспределить правила в несколько профилей. Также у вас повторяются некоторые строки.
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 2
  [ Сообщений: 30 ]  На страницу 1, 2  След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 62

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB