1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Пт авг 29, 2025 23:39

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 11 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
arn(cor)
 Заголовок сообщения: ACL для PPPoE
СообщениеДобавлено: Чт май 11, 2006 14:14 
Не в сети

Зарегистрирован: Пн апр 24, 2006 18:01
Сообщений: 14
Откуда: Moscow
Собственно сабж. Хотелось бы чтоб соединения с pppoe могли происходить только через uplink порт. Аналогия с pptp и dhcp не получается. По идее можно привязаться к ether_type 0x8863 и 0x8864 - discovery и session соотв, но вот как пока придумать не могу. Может много уважаемый All какие иеди подаст? Железо DES 3526 и DXS 3326
Вернуться наверх
 Профиль  
 
Vladislav Karagezov
 Заголовок сообщения: Re: ACL для PPPoE
СообщениеДобавлено: Чт май 11, 2006 14:37 
Не в сети

Зарегистрирован: Вс авг 17, 2003 12:18
Сообщений: 4387
Откуда: Moscow
arn(cor) писал(а):
Собственно сабж. Хотелось бы чтоб соединения с pppoe могли происходить только через uplink порт. Аналогия с pptp и dhcp не получается. По идее можно привязаться к ether_type 0x8863 и 0x8864 - discovery и session соотв, но вот как пока придумать не могу. Может много уважаемый All какие иеди подаст? Железо DES 3526 и DXS 3326

а если на всех портах, кроме uplink, запретить прохождения PPPoE Active Discovery Offer?

_________________
С уважением, Карагезов Владислав
Вернуться наверх
 Профиль  
 
arn(cor)
 Заголовок сообщения: Re: ACL для PPPoE
СообщениеДобавлено: Чт май 11, 2006 14:56 
Не в сети

Зарегистрирован: Пн апр 24, 2006 18:01
Сообщений: 14
Откуда: Moscow
Vladislav Karagezov писал(а):
arn(cor) писал(а):
Собственно сабж. Хотелось бы чтоб соединения с pppoe могли происходить только через uplink порт. Аналогия с pptp и dhcp не получается. По идее можно привязаться к ether_type 0x8863 и 0x8864 - discovery и session соотв, но вот как пока придумать не могу. Может много уважаемый All какие иеди подаст? Железо DES 3526 и DXS 3326

а если на всех портах, кроме uplink, запретить прохождения PPPoE Active Discovery Offer?


А разве он идет отдельным ether типом?
Вернуться наверх
 Профиль  
 
Vladislav Karagezov
 Заголовок сообщения: Re: ACL для PPPoE
СообщениеДобавлено: Чт май 11, 2006 16:06 
Не в сети

Зарегистрирован: Вс авг 17, 2003 12:18
Сообщений: 4387
Откуда: Moscow
arn(cor) писал(а):
Vladislav Karagezov писал(а):
arn(cor) писал(а):
Собственно сабж. Хотелось бы чтоб соединения с pppoe могли происходить только через uplink порт. Аналогия с pptp и dhcp не получается. По идее можно привязаться к ether_type 0x8863 и 0x8864 - discovery и session соотв, но вот как пока придумать не могу. Может много уважаемый All какие иеди подаст? Железо DES 3526 и DXS 3326

а если на всех портах, кроме uplink, запретить прохождения PPPoE Active Discovery Offer?


А разве он идет отдельным ether типом?

нет, но можно настроить правило по контенту заголовка пакета - я так думаю. Коммутаторы это позволяют.

_________________
С уважением, Карагезов Владислав
Вернуться наверх
 Профиль  
 
Lexx
 Заголовок сообщения:
СообщениеДобавлено: Чт май 11, 2006 22:44 
Не в сети

Зарегистрирован: Сб ноя 08, 2003 23:23
Сообщений: 368
Откуда: Москва
а собсно в чём проблема, достаточно типично делается всё
просто фильтруем например ethernet протокол 0x8863 чтоб общение клиентов могло происходить по этому протоколу только с мак-адресов pppoe-концентратора на определённом порту. Для 3526 это будет выглядеть примерно так:

(00-13-5F-AA-BB-CC - мак pppoe-концентратора, в портах 1-25 - клиенты, в порту 26 - pppoe концентратор (аплинк))
Код:
create access eth source_mac FF-FF-FF-FF-FF-FF ethernet_type profile 1
# Разрешаем pppoe-session-пакеты от концентратора клиентам
config access pro 1 add acc 100 eth source_mac 00-13-5F-AA-BB-CC ethernet_type 0x8863 port 26 permit
# Разрешаем pppoe-data-пакеты от концентратора клиентам
config access pro 1 add acc 200 eth source_mac 00-13-5F-AA-BB-CC ethernet_type 0x8864 port 26 permit
#
create access eth destination_mac FF-FF-FF-FF-FF-FF ethernet_type profile 2
# разрешаем широковещательные pppoe-session PADI
# пакеты от клиентов (service discovery которые)
config access pro 2 add acc 100 eth destination FF-FF-FF-FF-FF-FF ethernet_type 0x8863 port 1-25 permit
# разрешаем pppoe-session пакеты от клиентов к серверу
config access pro 2 add acc 200 eth destination 00-13-5F-AA-BB-CC ethernet_type 0x8863 port 1-25 permit
# разрешаем pppoe-session пакеты от клиентов к серверу
config access pro 2 add acc 300 eth destination 00-13-5F-AA-BB-CC ethernet_type 0x8864 port 1-25 permit

create access eth ethernet_type profile 3
# режем все остальные pppoe пакеты
config access pro 3 add acc 100 eth ethernet_type 0x8863 port 1-26 deny
config access pro 3 add acc 200 eth ethernet_type 0x8864 port 1-26 deny
Вернуться наверх
 Профиль  
 
arn(cor)
 Заголовок сообщения:
СообщениеДобавлено: Пт май 12, 2006 11:28 
Не в сети

Зарегистрирован: Пн апр 24, 2006 18:01
Сообщений: 14
Откуда: Moscow
Спасибо, похоже не правду. А еще такой вопрос, есть ли где вменаямая дока по ACL, ибо в доках к свичам она больно обрывочна и избирательна, к примеру не очень понятно в каком порыдке они обрабатываются и перекрываемость и прочие нюансы.
Вернуться наверх
 Профиль  
 
Vladislav Karagezov
 Заголовок сообщения:
СообщениеДобавлено: Пт май 12, 2006 11:33 
Не в сети

Зарегистрирован: Вс авг 17, 2003 12:18
Сообщений: 4387
Откуда: Moscow
arn(cor) писал(а):
Спасибо, похоже не правду. А еще такой вопрос, есть ли где вменаямая дока по ACL, ибо в доках к свичам она больно обрывочна и избирательна, к примеру не очень понятно в каком порыдке они обрабатываются и перекрываемость и прочие нюансы.

выполняются в порядке номеров профилей и правил внутри них, сверху вниз до первого правила, которому соответсвует пакет.
есть много примеров на сайте в FAQ.

_________________
С уважением, Карагезов Владислав
Вернуться наверх
 Профиль  
 
arn(cor)
 Заголовок сообщения:
СообщениеДобавлено: Пт май 12, 2006 11:50 
Не в сети

Зарегистрирован: Пн апр 24, 2006 18:01
Сообщений: 14
Откуда: Moscow
Vladislav Karagezov писал(а):
arn(cor) писал(а):
Спасибо, похоже не правду. А еще такой вопрос, есть ли где вменаямая дока по ACL, ибо в доках к свичам она больно обрывочна и избирательна, к примеру не очень понятно в каком порыдке они обрабатываются и перекрываемость и прочие нюансы.

выполняются в порядке номеров профилей и правил внутри них, сверху вниз до первого правила, которому соответсвует пакет.
есть много примеров на сайте в FAQ.


Ок, такой пример

Есть профиль 1 и профиль 2, в профиле 1 и 2 есть acl c id 1 пакет подходит под оба acl каким он будет обработан?
Вернуться наверх
 Профиль  
 
H2SO4
 Заголовок сообщения:
СообщениеДобавлено: Пт май 12, 2006 11:59 
Не в сети

Зарегистрирован: Пн апр 03, 2006 08:11
Сообщений: 39
имхо, отработает самый первый и из цепочек произойдет выход.
Вернуться наверх
 Профиль  
 
arn(cor)
 Заголовок сообщения:
СообщениеДобавлено: Пт май 12, 2006 12:04 
Не в сети

Зарегистрирован: Пн апр 24, 2006 18:01
Сообщений: 14
Откуда: Moscow
К примеру вот такой вот код не работает

Код:
#закрываем диапазон 10.91.0.0-10.91.15.255
create access_profile ip source_ip_mask 255.255.240.0 profile_id 1
config access_profile profile_id 1 add access_id 1 ip source_ip 10.91.0.0 port 2 deny

#открываем диапазон 10.0.0.0-10.255.255.255
create access_profile ip source_ip_mask 255.0.0.0 profile_id 2
config access_profile profile_id 2 add access_id 1 ip source_ip 10.0.0.0 port 2 permit

#закрываем все остальное
create access_profile ip source_ip_mask 0.0.0.0 profile_id 3
config access_profile profile_id 3 add access_id 1 ip source_ip 0.0.0.0 port 2 deny



тоесть
вот это по идее должно было быть убито первым правилом, но работает

> ping 10.91.14.2
PING 10.91.14.2 (10.91.14.2): 56 data bytes
64 bytes from 10.91.14.2: icmp_seq=0 ttl=128 time=1.228 ms
64 bytes from 10.91.14.2: icmp_seq=1 ttl=128 time=0.378 ms
^C
--- 10.91.14.2 ping statistics ---

вот это должно работать, и работает
> ping 10.91.91.94
PING 10.91.91.94 (10.91.91.94): 56 data bytes
64 bytes from 10.91.91.94: icmp_seq=0 ttl=128 time=0.456 ms
64 bytes from 10.91.91.94: icmp_seq=1 ttl=128 time=0.345 ms

где грабли?
Вернуться наверх
 Профиль  
 
arn(cor)
 Заголовок сообщения:
СообщениеДобавлено: Пт май 12, 2006 12:10 
Не в сети

Зарегистрирован: Пн апр 24, 2006 18:01
Сообщений: 14
Откуда: Moscow
ууупс, каюсь, грешен - маски на интерфейсе попутал
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 11 ] 

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 71

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB