D-Link • Просмотр темы

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

DES-3200-28 revC1

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 2

[ Сообщений: 27 ]

На страницу 1, 2 След.

Предыдущая тема | Следующая тема

Автор

Сообщение

Stp

Заголовок сообщения: DES-3200-28 revC1

Добавлено: Чт авг 02, 2012 16:00

Зарегистрирован: Ср дек 12, 2007 16:10
Сообщений: 32
Откуда: Stp

Здравствуйте!
D-link огорчает 2-й раз за лето, зачем-то портя собственный продукт. Сначала выпустили новую ревизию вполне себе рабочих DIR-615 (стоит несколько коробок, абонентам продавать перестали, что с ними делать не знаем). Теперь, уже однажды лишенный двух крайне полезных комбо-портов 3200-28 переделали ещё раз. Закупили партию этих коммутаторов, теперь кусаем локти. Начитался тут на форуме про эту ревизию - погрустнело ещё больше.
Вопрос по существу: с прошивкой DES3200R_4.30.B009.had на коммутаторе есть возможность создать только 4 профиля acl. Используем 9. Как быть? Это всё на что способен С1 или это именно в этой версии прошивки? Если решается прошивкой - просьба поделиться. Заранее спасибо!

Вернуться наверх

Stp

Заголовок сообщения: Re: DES-3200-28 revC1

Добавлено: Пт авг 03, 2012 09:01

Зарегистрирован: Ср дек 12, 2007 16:10
Сообщений: 32
Откуда: Stp

Прочитали презентацию, только 4...

Вернуться наверх

Stp

Заголовок сообщения: Re: DES-3200-28 revC1

Добавлено: Пт авг 03, 2012 11:14

Зарегистрирован: Ср дек 12, 2007 16:10
Сообщений: 32
Откуда: Stp

Stp писал(а):

Используем 9.

Прошу прощения - опечатался - 8.

Вернуться наверх

G@riK

Заголовок сообщения: Re: DES-3200-28 revC1

Добавлено: Пт авг 03, 2012 11:41

Зарегистрирован: Вт сен 26, 2006 18:25
Сообщений: 146

В связи с этим просим помощи с реорганизацией текущих правил под новую ревизию.

На данный момент есть такие профили (по ID профиля):

1. IP ACL: разрешаем всем обращаться к 53 порту (ДНС) с ограничением скорости

Код:

create access_profile  ip  destination_ip 0.0.0.0 udp dst_port_mask 0xFFFF    profile_id 1
config access_profile profile_id 1  add access_id 1  ip  destination_ip 0.0.0.0 udp dst_port 53  port 1-28 permit
config flow_meter profile_id 1 access_id 1 rate 64 burst 8 rate_exceed drop_packet

2. PCF ACL: блочим порты 135, 137, 138, 139, 2869, 1900

Код:

create access_profile  packet_content_mask   offset1 l4 2 0xFFFF  profile_id 2
config access_profile profile_id 2  add access_id 1  packet_content   offset1 0x0087 port 1-24 deny
config access_profile profile_id 2  add access_id 2  packet_content   offset1 0x0089 port 1-24 deny
config access_profile profile_id 2  add access_id 3  packet_content   offset1 0x008a port 1-24 deny
config access_profile profile_id 2  add access_id 4  packet_content   offset1 0x008b port 1-24 deny
config access_profile profile_id 2  add access_id 5  packet_content   offset1 0x0b35 port 1-24 deny
config access_profile profile_id 2  add access_id 6  packet_content   offset1 0x076c port 1-24 deny

3. IP ACL: ограничиваем скорость для ICMP

Код:

create access_profile  ip  destination_ip 0.0.0.0 icmp  profile_id 3
config access_profile profile_id 3  add access_id 1  ip  destination_ip 0.0.0.0 icmp  port 25-28 permit
config access_profile profile_id 3  add access_id 2  ip  destination_ip 0.0.0.0 icmp  port 1-24 permit
config flow_meter profile_id 3 access_id 2 rate 64 burst 8 rate_exceed drop_packet

4. IP ACL: блокируем весь трафик к шлюзам по умолчанию

Код:

create access_profile  ip  destination_ip 255.0.0.255  profile_id 4
config access_profile profile_id 4  add access_id 1  ip  destination_ip 10.0.0.254  port 1-24 deny

6. IP ACL: привязка абонентов IP-PORT (привязка по MAC нас не устраивает)

Код:

create access_profile  ip  source_ip 255.255.255.255  profile_id 6
config access_profile profile_id 6  add access_id 1  ip  source_ip 10.1.2.3  port 1 permit
...

7. IP ACL: блокируем всех непривязанных на абонентских портах (1-24)

Код:

create access_profile  ip  source_ip 0.0.0.0  profile_id 7
config access_profile profile_id 7  add access_id 1  ip  source_ip 0.0.0.0  port 25-28 permit
config access_profile profile_id 7  add access_id 2  ip  source_ip 0.0.0.0  port 1-24 deny

Далее 2 профиля ARP psoofing prevention.
8. PCF ACL: разрешаем ARP-запросы только привязанным к портам абонентам

Код:

create access_profile  packet_content_mask   offset1 l2 0 0xFFFF  offset2 l3 14 0xFFFF  offset3 l3 16 0xFFFF  profile_id 8
config access_profile profile_id 8  add access_id 1  packet_content   offset1 0x0806 offset2 0x0a01 offset3 0x0203 port 1 permit
...

9. PCF ACL: блокируем все остальные ARP

Код:

create access_profile  packet_content_mask   offset1 l2 0 0xFFFF  profile_id 9
config access_profile profile_id 9  add access_id 1 packet_content   offset1 0x0806 port 1 deny
...

Вернуться наверх

G@riK

Заголовок сообщения: Re: DES-3200-28 revC1

Добавлено: Пн авг 06, 2012 10:50

Зарегистрирован: Вт сен 26, 2006 18:25
Сообщений: 146

День добрый.

Есть какие-либо идеи по реорганизации правил?

Вернуться наверх

Artem Kolpakov

Заголовок сообщения: Re: DES-3200-28 revC1

Добавлено: Пн авг 06, 2012 11:31

Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999

Почитайте презентацию https://dl.dropbox.com/u/41324937/Prese ... ew_ACL.ppt по новой логике работы acl в новой ревизии С1.
Объявляйте большее количество полей в профиле, и затем в правилах уже описывайте те или иные, нужные вам.

Вернуться наверх

G@riK

Заголовок сообщения: Re: DES-3200-28 revC1

Добавлено: Пн авг 06, 2012 14:42

Зарегистрирован: Вт сен 26, 2006 18:25
Сообщений: 146

Artem Kolpakov писал(а):

C IP-ACL вроде удалось справиться.
А вот с PCF пока никак. Более того, пока не удаётся просто заблокировать ARP.
Пробую так:

Код:

create access_profile profile_id 1 profile_name 1 packet_content_mask offset_chunk_1 24 0xFFFF0000
config access_profile profile_id 1 add access_id 1 packet_content offset_chunk_1 0x08060000 mask 0xFFFF0000 port 23 deny

В 23 порту мой ПК, арпы которого я хочу заблокировать.
Не подскажете, что я делаю не так (скорее всего неправильно вычисляю offset)?

Вернуться наверх

G@riK

Заголовок сообщения: Re: DES-3200-28 revC1

Добавлено: Пн авг 06, 2012 18:45

Зарегистрирован: Вт сен 26, 2006 18:25
Сообщений: 146

UPD: разобрался, спасибо.
Помог еще этот фак: http://dlink.ru/ru/faq/62/892.html

Получилось так:

Код:

create access_profile profile_id 1 profile_name Destination ip destination_ip_mask 0.0.0.0 protocol_id_mask 0xFF user_define_mask 0xFFFF0000 
config access_profile profile_id 1 add access_id 1 ip destination_ip 0.0.0.0 protocol_id 17 user_define 0x35 mask 0xFFFF port 1-28 permit 
config access_profile profile_id 1 add access_id 2 ip destination_ip 0.0.0.0 protocol_id 1 port 25-28 permit 
config access_profile profile_id 1 add access_id 3 ip destination_ip 0.0.0.0 protocol_id 1 port 1-24 permit 
config access_profile profile_id 1 add access_id 4 ip destination_ip 10.0.0.254 mask 255.0.0.255 port 1-24 deny 
config flow_meter profile_id 1 access_id 1 rate 64 burst_size 8 rate_exceed drop_packet 
config flow_meter profile_id 1 access_id 3 rate 64 burst_size 8 rate_exceed drop_packet 

create access_profile profile_id 2 profile_name PCF packet_content_mask offset_chunk_1 9 0xFFFF offset_chunk_2 3 0xFFFF offset_chunk_3 7 0xFFFF offset_chunk_4 8 0xFFFF0000 
config access_profile profile_id 2 add access_id 1 packet_content offset_chunk_2 0x806 mask 0xFFFF offset_chunk_3 0xA5A mask 0xFFFF offset_chunk_4 0x5A4D0000 mask 0xFFFF0000 port 23 permit 
config access_profile profile_id 2 add access_id 10 packet_content offset_chunk_2 0x806 mask 0xFFFF port 23 deny 

create access_profile profile_id 3 profile_name Source ip source_ip_mask 255.255.255.255 
config access_profile profile_id 3 add access_id 1 ip source_ip 10.90.90.77 port 23 permit 
config access_profile profile_id 3 add access_id 9 ip source_ip 0.0.0.0 mask 0.0.0.0 port 25-28 permit 
config access_profile profile_id 3 add access_id 10 ip source_ip 0.0.0.0 mask 0.0.0.0 port 1-24 deny 

Вернуться наверх

Artem Kolpakov

Заголовок сообщения: Re: DES-3200-28 revC1

Добавлено: Вт авг 07, 2012 08:21

Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999

Рад слышать!

Вернуться наверх

G@riK

Заголовок сообщения: Re: DES-3200-28 revC1

Добавлено: Ср авг 08, 2012 15:00

Зарегистрирован: Вт сен 26, 2006 18:25
Сообщений: 146

День добрый.

Столкнулся с проблемой: не могу при таких правилах разрешить DHCP, т.е. абонент не получает IP и, в итоге, срабатывает последнее блокирующее правило в 3 профиле.
Ноут в 9 порту тестового свитча
Вот правила:

Код:

create access_profile profile_id 1 profile_name Destination ip destination_ip_mask 0.0.0.0 protocol_id_mask 0xFF user_define_mask 0xFFFF0000
# DNS 53 порт
config access_profile profile_id 1 add access_id 1 ip destination_ip 0.0.0.0 protocol_id 17 user_define 0x35 mask 0xFFFF port 1-28 permit
config access_profile profile_id 1 add access_id 2 ip destination_ip 0.0.0.0 protocol_id 1 port 25-28 permit
config access_profile profile_id 1 add access_id 3 ip destination_ip 0.0.0.0 protocol_id 1 port 1-24 permit
config access_profile profile_id 1 add access_id 4 ip destination_ip 10.0.0.254 mask 255.0.0.255 port 1-24 deny
# DHCP 67, 68 порты разрешить
config access_profile profile_id 1 add access_id auto_assign ip protocol_id 17 user_define 0x43 mask 0xFFFF port 1-28 permit
config access_profile profile_id 1 add access_id auto_assign ip protocol_id 17 user_define 0x44 mask 0xFFFF port 1-28 permit
# 135
config access_profile profile_id 1 add access_id auto_assign ip destination_ip 0.0.0.0 protocol_id 6 user_define 0x87 mask 0xFFFF port 1-24 deny
config access_profile profile_id 1 add access_id auto_assign ip destination_ip 0.0.0.0 protocol_id 17 user_define 0x87 mask 0xFFFF port 1-24 deny
# 137
config access_profile profile_id 1 add access_id auto_assign ip destination_ip 0.0.0.0 protocol_id 6 user_define 0x89 mask 0xFFFF port 1-24 deny
config access_profile profile_id 1 add access_id auto_assign ip destination_ip 0.0.0.0 protocol_id 17 user_define 0x89 mask 0xFFFF port 1-24 deny
# 138
config access_profile profile_id 1 add access_id auto_assign ip destination_ip 0.0.0.0 protocol_id 6 user_define 0x8A mask 0xFFFF port 1-24 deny
config access_profile profile_id 1 add access_id auto_assign ip destination_ip 0.0.0.0 protocol_id 17 user_define 0x8A mask 0xFFFF port 1-24 deny
# 139
config access_profile profile_id 1 add access_id auto_assign ip destination_ip 0.0.0.0 protocol_id 6 user_define 0x8B mask 0xFFFF port 1-24 deny
config access_profile profile_id 1 add access_id auto_assign ip destination_ip 0.0.0.0 protocol_id 17 user_define 0x8B mask 0xFFFF port 1-24 deny
# 2869
config access_profile profile_id 1 add access_id auto_assign ip destination_ip 0.0.0.0 protocol_id 6 user_define 0xB35 mask 0xFFFF port 1-24 deny
config access_profile profile_id 1 add access_id auto_assign ip destination_ip 0.0.0.0 protocol_id 17 user_define 0xB35 mask 0xFFFF port 1-24 deny
# 1900
config access_profile profile_id 1 add access_id auto_assign ip destination_ip 0.0.0.0 protocol_id 6 user_define 0x76C mask 0xFFFF port 1-24 deny
config access_profile profile_id 1 add access_id auto_assign ip destination_ip 0.0.0.0 protocol_id 17 user_define 0x76C mask 0xFFFF port 1-24 deny
config flow_meter profile_id 1 access_id 1 rate 64 burst_size 8 rate_exceed drop_packet
config flow_meter profile_id 1 access_id 3 rate 64 burst_size 8 rate_exceed drop_packet

# ARP SPOOFING PREVENTION
create access_profile profile_id 2 profile_name PCF packet_content_mask offset_chunk_1 9 0xFFFF offset_chunk_2 3 0xFFFF offset_chunk_3 7 0xFFFF offset_chunk_4 8 0xFFFF0000
config access_profile profile_id 2 add access_id 1 packet_content offset_chunk_2 0x806 mask 0xFFFF offset_chunk_3 0xA01 mask 0xFFFF offset_chunk_4 0x02030000 mask 0xFFFF0000 port 9 permit
config access_profile profile_id 2 add access_id 10 packet_content offset_chunk_2 0x806 mask 0xFFFF port 1-24 deny

# Привязка
create access_profile profile_id 3 profile_name Source ip source_ip_mask 255.255.255.255
config access_profile profile_id 3 add access_id 1 ip source_ip 10.1.2.3 port 9 permit
config access_profile profile_id 3 add access_id 9 ip source_ip 0.0.0.0 mask 0.0.0.0 port 25-28 permit
# Блокируем всех остальных
config access_profile profile_id 3 add access_id 10 ip source_ip 0.0.0.0 mask 0.0.0.0 port 1-24 deny

Просьба помочь с правилами для разрешения DHCP.

Вернуться наверх

Artem Kolpakov

Заголовок сообщения: Re: DES-3200-28 revC1

Добавлено: Ср авг 08, 2012 15:09

Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999

Разрешите обращение с src 0.0.0.0/32 и уже потом запрещайте всем остальным

Вернуться наверх

G@riK

Заголовок сообщения: Re: DES-3200-28 revC1

Добавлено: Ср авг 08, 2012 16:30

Зарегистрирован: Вт сен 26, 2006 18:25
Сообщений: 146

Artem Kolpakov писал(а):

Разрешите обращение с src 0.0.0.0/32 и уже потом запрещайте всем остальным

Спасибо. Помогло.

Вернуться наверх

Artem Kolpakov

Заголовок сообщения: Re: DES-3200-28 revC1

Добавлено: Чт авг 09, 2012 08:08

Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999

Пожалуйста

Вернуться наверх

mik0s

Заголовок сообщения: Re: DES-3200-28 revC1

Добавлено: Пн окт 01, 2012 19:22

Зарегистрирован: Пн мар 15, 2010 20:23
Сообщений: 105

Artem Kolpakov писал(а):

Разрешите обращение с src 0.0.0.0/32 и уже потом запрещайте всем остальным

Это в каком профиле? В третьем? Так там вроде и так разрешено:

Код:

config access_profile profile_id 3 add access_id 9 ip source_ip 0.0.0.0 mask 0.0.0.0 port 25-28 permit

Или имееются ввиду абонентские порты?

Вернуться наверх

Artem Kolpakov

Заголовок сообщения: Re: DES-3200-28 revC1

Добавлено: Вт окт 02, 2012 08:25

Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999

mik0s писал(а):

Или имееются ввиду абонентские порты?

Именно так

Вернуться наверх

Страница 1 из 2

[ Сообщений: 27 ]

На страницу 1, 2 След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 25

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения