faq обучение настройка
Текущее время: Сб мар 30, 2024 08:03

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 4 ] 
Автор Сообщение
 Заголовок сообщения: Странное поведение ACL
СообщениеДобавлено: Чт авг 04, 2016 10:21 
Не в сети

Зарегистрирован: Пн окт 05, 2015 11:14
Сообщений: 19
Откуда: Кривой Рог
Имеется:
Код:
DES-3200-10
Boot PROM Version  : Build 1.00.B004
Firmware Version   : Build 1.84.B004
Hardware Version   : A1

Настроено ACL
Скрытый текст: показать
Код:
create access_profile  ip  destination_ip 255.255.255.255 udp src_port_mask 0xFFFF   dst_port_mask 0xFFFF    profile_id 1
config access_profile profile_id 1  add access_id 1  ip  destination_ip 255.255.255.255 udp src_port 68 dst_port 67  port 1-9 permit
config access_profile profile_id 1  add access_id 2  ip  destination_ip 255.255.255.255 udp  port 1-9 deny
create access_profile  ip  destination_ip 255.255.255.255 tcp src_port_mask 0xFFFF   dst_port_mask 0xFFFF    profile_id 2
config access_profile profile_id 2  add access_id 1  ip  destination_ip 255.255.255.255 tcp src_port 68 dst_port 67  port 1-9 permit
config access_profile profile_id 2  add access_id 2  ip  destination_ip 255.255.255.255 tcp  port 1-9 deny
create access_profile  ip  destination_ip 255.255.255.255  profile_id 3
config access_profile profile_id 3  add access_id 1  ip  destination_ip 224.0.0.251  port 1-10 deny
config access_profile profile_id 3  add access_id 2  ip  destination_ip 224.0.0.252  port 1-10 deny
config access_profile profile_id 3  add access_id 3  ip  destination_ip 224.0.0.253  port 1-10 deny
config access_profile profile_id 3  add access_id 4  ip  destination_ip 239.255.255.250  port 1-10 deny
config access_profile profile_id 3  add access_id 5  ip  destination_ip 239.192.152.143  port 1-10 deny
config access_profile profile_id 3  add access_id 6  ip  destination_ip 239.2.0.252  port 1-10 deny
create cpu access_profile profile_id 1 ethernet  ethernet_type
config cpu access_profile profile_id 1  add access_id 1  ethernet  ethernet_type 0x0800    port 1-9 permit
config cpu access_profile profile_id 1  add access_id 2  ethernet  ethernet_type 0x0806    port 1-9 permit
config cpu access_profile profile_id 1  add access_id 3  ethernet  ethernet_type 0x9000    port 1-10 deny
config cpu access_profile profile_id 1  add access_id 4  ethernet  ethernet_type 0x86DD    port 1-10 deny
create cpu access_profile profile_id 2 ethernet  source_mac 00-00-00-00-00-00
config cpu access_profile profile_id 2  add access_id 5  ethernet  source_mac 00-00-00-00-00-00  port 1-9 deny
create cpu access_profile profile_id 3 ip  udp dst_port_mask 0xFFFF
config cpu access_profile profile_id 3  add access_id 1  ip  udp dst_port 5358  port 1-10 deny
config cpu access_profile profile_id 3  add access_id 2  ip  udp dst_port 5355  port 1-10 deny
enable cpu_interface_filtering

Абоненты отлично работают, проблем нет.

Свич 2

Код:
DES-3200-18
Boot PROM Version          : Build 4.00.002
Firmware Version           : Build 4.42.B001
Hardware Version           : C1

Настраиваем тот же ACL
Скрытый текст: показать
Код:
# ACL

create access_profile profile_id 1 ethernet ethernet_type
config access_profile profile_id 1 add access_id 1 ethernet ethernet_type 0x800 port 1-17 permit
config access_profile profile_id 1 add access_id 2 ethernet ethernet_type 0x806 port 1-17 permit
config access_profile profile_id 1 add access_id 3 ethernet ethernet_type 0x86DD port 1-17 deny
config access_profile profile_id 1 add access_id 4 ethernet ethernet_type 0x9000 port 1-17 deny
create access_profile profile_id 3 ethernet source_mac 00-00-00-00-00-00
config access_profile profile_id 3 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-17 deny

#CPU Interface Filter

create cpu access_profile profile_id 1 ip destination_ip_mask 255.255.255.255 udp src_port_mask 0xFFFF dst_port_mask 0xFFFF
config cpu access_profile profile_id 1 add access_id 1 ip destination_ip 255.255.255.255 udp src_port 68 dst_port 67 port 1-17 permit
config cpu access_profile profile_id 1 add access_id 2 ip destination_ip 255.255.255.255 udp port 1-17 deny
create cpu access_profile profile_id 2 ip destination_ip_mask 255.255.255.255 tcp src_port_mask 0xFFFF dst_port_mask 0xFFFF
config cpu access_profile profile_id 2 add access_id 1 ip destination_ip 255.255.255.255 tcp src_port 68 dst_port 67 port 1-17 permit
config cpu access_profile profile_id 2 add access_id 2 ip destination_ip 255.255.255.255 tcp port 1-17 deny
create cpu access_profile profile_id 3 ip destination_ip_mask 255.255.255.255
config cpu access_profile profile_id 3 add access_id 1 ip destination_ip 224.0.0.251 port 1-18 deny
config cpu access_profile profile_id 3 add access_id 2 ip destination_ip 224.0.0.252 port 1-18 deny
config cpu access_profile profile_id 3 add access_id 3 ip destination_ip 224.0.0.253 port 1-18 deny
config cpu access_profile profile_id 3 add access_id 4 ip destination_ip 239.255.255.250 port 1-18 deny
config cpu access_profile profile_id 3 add access_id 5 ip destination_ip 239.192.152.143 port 1-18 deny
config cpu access_profile profile_id 3 add access_id 6 ip destination_ip 239.2.0.252 port 1-18 deny
enable cpu_interface_filtering

Абоненты получают IP адрес, но никуда не могут выйти, даже на наш локальный сайт пока мы не пропишем
Код:
delete access_profile profile_id 3

Что я делаю не так?

_________________
Внимательность! Это было на букву "Э"!
Код:
DES/DGS-3200-XX(A1/B1/C1), DGS-3627G(A1), DGS-3426(A1), DGS-3120-24SC(A1/A2/B1), DES-1210-28/ME(B2/B3)


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Странное поведение ACL
СообщениеДобавлено: Чт авг 04, 2016 13:04 
Не в сети

Зарегистрирован: Вт сен 04, 2007 01:32
Сообщений: 291
Откуда: Курск
я бы ответил вашей же подписью. "Внимательность!"
во-первых, ацльки совершенно не тождественны (почему вы пишете "тот же ACL"?), во-вторых, третьим аксесс-профилем вы блочите по маске 00-00... вообще все возможные маки.

_________________
/nixx


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Странное поведение ACL
СообщениеДобавлено: Чт авг 04, 2016 16:48 
Не в сети

Зарегистрирован: Пн окт 05, 2015 11:14
Сообщений: 19
Откуда: Кривой Рог
nixx писал(а):
я бы ответил вашей же подписью. "Внимательность!"
во-первых, ацльки совершенно не тождественны (почему вы пишете "тот же ACL"?), во-вторых, третьим аксесс-профилем вы блочите по маске 00-00... вообще все возможные маки.


А чем они не тождественны? Разница в 10 и 18 портов?

3200-10 A1
# Разрешаем работу IP и ARP потокола

create cpu access_profile profile_id 1 ethernet ethernet_type
config cpu access_profile profile_id 1 add access_id 1 ethernet ethernet_type 0x0800 port 1-9 permit
config cpu access_profile profile_id 1 add access_id 2 ethernet ethernet_type 0x0806 port 1-9 permit

Запрещаем 9000 Loopback (Configuration Test Protocol) и 86DD IP version 6
config cpu access_profile profile_id 1 add access_id 3 ethernet ethernet_type 0x9000 port 1-10 deny
config cpu access_profile profile_id 1 add access_id 4 ethernet ethernet_type 0x86DD port 1-10 deny

Запрещаем всё остальное
create cpu access_profile profile_id 2 ethernet source_mac 00-00-00-00-00-00
config cpu access_profile profile_id 2 add access_id 5 ethernet source_mac 00-00-00-00-00-00 port 1-9 deny


3200-18 C1
Разрешаем работу IP и ARP потокола

create access_profile profile_id 1 ethernet ethernet_type
config access_profile profile_id 1 add access_id 1 ethernet ethernet_type 0x800 port 1-17 permit
config access_profile profile_id 1 add access_id 2 ethernet ethernet_type 0x806 port 1-17 permit

Запрещаем 9000 Loopback (Configuration Test Protocol) и 86DD IP version 6
config access_profile profile_id 1 add access_id 3 ethernet ethernet_type 0x86DD port 1-17 deny
config access_profile profile_id 1 add access_id 4 ethernet ethernet_type 0x9000 port 1-17 deny

Запрещаем всё остальное
create access_profile profile_id 3 ethernet source_mac 00-00-00-00-00-00
config access_profile profile_id 3 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-17 deny

http://www.cavebear.com/archive/cavebea ... /type.html

С другого свича DES-1210-28 B2/ME абоненты работают отлично
Код:
create access_profile ip udp src_port_mask 0xffff dst_port_mask 0xffff destination_ip_mask 255.255.255.255 profile_id 1
create access_profile ip tcp src_port_mask 0xffff dst_port_mask 0xffff destination_ip_mask 255.255.255.255 profile_id 2
create access_profile ethernet ethernet_type profile_id 3
create access_profile ethernet source_mac 000000000000  profile_id 4
config access_profile profile_id 3 add access_id 1 ethernet ethernet_type 0x0800 port 1-15,17-24 permit
config access_profile profile_id 3 add access_id 2 ethernet ethernet_type 0x0806 port 1-15,17-24 permit
config access_profile profile_id 3 add access_id 3 ethernet ethernet_type 0x86dd port 1-15,17-24 deny
config access_profile profile_id 3 add access_id 4 ethernet ethernet_type 0x9000 port 1-15,17-24 deny
config access_profile profile_id 4 add access_id 1 ethernet source_mac 00-00-00-00-00-00 mask 00-00-00-00-00-00 port 1-15,17-24 deny
config access_profile profile_id 1 add access_id 1 ip udp src_port 68 src_port_mask 0xffff dst_port 67 dst_port_mask 0xffff destination_ip 255.255.255.255 destination_ip_mask 255.255.255.255 port 1-15,17-24 permit
config access_profile profile_id 1 add access_id 2 ip udp destination_ip 255.255.255.255 destination_ip_mask 255.255.255.255 port 1-15,17-24 deny
config access_profile profile_id 2 add access_id 1 ip tcp src_port 68 src_port_mask 0xffff dst_port 67 dst_port_mask 0xffff destination_ip 255.255.255.255 destination_ip_mask 255.255.255.255 port 1-15,17-24 permit
config access_profile profile_id 2 add access_id 2 ip tcp destination_ip 255.255.255.255 destination_ip_mask 255.255.255.255 port 1-15,17-24 deny
enable cpu_interface_filtering

_________________
Внимательность! Это было на букву "Э"!
Код:
DES/DGS-3200-XX(A1/B1/C1), DGS-3627G(A1), DGS-3426(A1), DGS-3120-24SC(A1/A2/B1), DES-1210-28/ME(B2/B3)


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Странное поведение ACL
СообщениеДобавлено: Пт авг 05, 2016 18:41 
Не в сети

Зарегистрирован: Сб апр 12, 2008 01:21
Сообщений: 260
Откуда: Airbites->UARNet/Львов
Емнип, на 3200ых аппаратной ревизии "С" все ACL срабатывают одновременно, а не последовательно "до первого совпадения", поэтому любое "запрещающее всё остальное" правило будет отрабатывать всегда, где бы оно не стояло и сколько/каких бы разрешающих не было перед ним..

_________________
AB-Style: Выходных дней два в году - Новый Год и Апокалипсис. Да и то что-то с Апокалипсисом не везёт...
D-Link User: DES-3526/3550, DES-3528, DES-3018, DES-3200-XX, DGS-3612/3627G, DCS-9x0, DCS-3220, DVG-5112S, DPH-400S + разные роутеры и медиаконвертеры


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 4 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: SemNik и гости: 23


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB