D-Link • Просмотр темы

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

ACL на DES-3526

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 2

[ Сообщений: 22 ]

На страницу 1, 2 След.

Предыдущая тема | Следующая тема

Автор

Сообщение

SEA-Jay

Заголовок сообщения: ACL на DES-3526

Добавлено: Вт фев 13, 2007 13:53

Зарегистрирован: Пн мар 15, 2004 13:25
Сообщений: 41
Откуда: Chita

DES-3526 стоит в качестве узлового коммутатора. На нем порядка 60 виланов 100-160 обычных пользователей, и 20 корпоративных 200-220.

Вопрос, можно ли зарезать паразитный траффик (135,137,138,139, 445 порты по UDP и TCP) по всем физическим портам с 1 по 26 в виаланах 100-160 и оставить доступ по всем портам и протоколам в 200-220 виланах?

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Вт фев 13, 2007 14:03

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Можно. Добавьте в профиль и правило параметр VLAN.

Вернуться наверх

SEA-Jay

Заголовок сообщения:

Добавлено: Вт фев 13, 2007 14:10

Зарегистрирован: Пн мар 15, 2004 13:25
Сообщений: 41
Откуда: Chita

А командами как сделать не подскажете? а то через веб долго делать

так правильно?

create access_profile ip tcp dst_port_mask 0xffff profile_id 20
config access_profile profile_id 20 add access_id 1 ip vlan 123 tcp dst_port 135 port 1-26 deny

и еще вопрос, в тегированных виланах это правило будет работать?

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Вт фев 13, 2007 15:49

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

1. Правильно.
2. Будут работать.

P.S.: Только помните об ограничении кол-ва правил по группам и суммарному ограничению в 800 правил.

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

SEA-Jay

Заголовок сообщения:

Добавлено: Вт фев 13, 2007 17:07

Зарегистрирован: Пн мар 15, 2004 13:25
Сообщений: 41
Откуда: Chita

Какие еще коммутаторы поддерживают фильтрование траффика по содержимому?
У всех коммутаторов ограничение в 800 правил или есть более расширенные?

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Вт фев 13, 2007 17:29

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

По содержимому это Вы подразумеваете Packet Content Filtering или указанные выше правила?

Вернуться наверх

SEA-Jay

Заголовок сообщения:

Добавлено: Ср фев 14, 2007 03:43

Зарегистрирован: Пн мар 15, 2004 13:25
Сообщений: 41
Откуда: Chita

чтобы можно было зарезать паразитный траффик (135,137,138,139, 445 порты по UDP и TCP) без ограничений в виланах

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Ср фев 14, 2007 10:36

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Большее количество правил имею только гигабитные коммутаторы серий DGS-34XX и DGS-36XX.

Вернуться наверх

SEA-Jay

Заголовок сообщения:

Добавлено: Ср фев 14, 2007 10:56

Зарегистрирован: Пн мар 15, 2004 13:25
Сообщений: 41
Откуда: Chita

DES-3526 на 450 правиле сказал таблица полная

Total Access Entries : 450

это ограничение коммутатора, прошивки или я делал что то неправильно, выше говорится вроде о 800 правилах?

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Ср фев 14, 2007 11:08

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Как Вы распределили правила по портам?

Вернуться наверх

SEA-Jay

Заголовок сообщения:

Добавлено: Ср фев 14, 2007 11:18

Зарегистрирован: Пн мар 15, 2004 13:25
Сообщений: 41
Откуда: Chita

create access_profile ip vlan tcp dst_port_mask 0xffff profile_id 10
config access_profile profile_id 10 add access_id 1 ip vlan 201 tcp dst_port 139 port 10-26 deny
config access_profile profile_id 10 add access_id 18 ip vlan 202 tcp dst_port 139 port 10-26 deny
config access_profile profile_id 10 add access_id 35 ip vlan 203 tcp dst_port 139 port 10-26 deny
config access_profile profile_id 10 add access_id 52 ip vlan 204 tcp dst_port 139 port 10-26 deny
config access_profile profile_id 10 add access_id 69 ip vlan 205 tcp dst_port 139 port 10-26 deny
config access_profile profile_id 10 add access_id 86 ip vlan 206 tcp dst_port 139 port 10-26 deny
config access_profile profile_id 10 add access_id 103 ip vlan 207 tcp dst_port 139 port 10-26 deny
config access_profile profile_id 10 add access_id 120 ip vlan 208 tcp dst_port 139 port 10-26 deny
config access_profile profile_id 10 add access_id 137 ip vlan 209 tcp dst_port 139 port 10-26 deny
config access_profile profile_id 10 add access_id 154 ip vlan 210 tcp dst_port 139 port 10-26 deny
config access_profile profile_id 10 add access_id 171 ip vlan 211 tcp dst_port 139 port 10-26 deny
config access_profile profile_id 10 add access_id 188 ip vlan 212 tcp dst_port 139 port 10-26 deny
config access_profile profile_id 10 add access_id 205 ip vlan 213 tcp dst_port 139 port 10-26 deny
config access_profile profile_id 10 add access_id 222 ip vlan 214 tcp dst_port 139 port 10-26 deny
config access_profile profile_id 10 add access_id 239 ip vlan 215 tcp dst_port 139 port 10-26 deny
config access_profile profile_id 10 add access_id 256 ip vlan 216 tcp dst_port 139 port 10-26 deny
config access_profile profile_id 10 add access_id 273 ip vlan 217 tcp dst_port 139 port 10-26 deny
config access_profile profile_id 10 add access_id 290 ip vlan 218 tcp dst_port 139 port 10-26 deny
config access_profile profile_id 10 add access_id 307 ip vlan 219 tcp dst_port 139 port 10-26 deny
config access_profile profile_id 10 add access_id 324 ip vlan 220 tcp dst_port 139 port 10-26 deny
config access_profile profile_id 10 add access_id 341 ip vlan 221 tcp dst_port 139 port 10-26 deny
config access_profile profile_id 10 add access_id 358 ip vlan 222 tcp dst_port 139 port 10-26 deny

create access_profile ip vlan tcp dst_port_mask 0xffff profile_id 20
config access_profile profile_id 20 add access_id 375 ip vlan 201 tcp dst_port 445 port 10-26 deny
config access_profile profile_id 20 add access_id 392 ip vlan 202 tcp dst_port 445 port 10-26 deny
config access_profile profile_id 20 add access_id 409 ip vlan 203 tcp dst_port 445 port 10-26 deny
config access_profile profile_id 20 add access_id 426 ip vlan 204 tcp dst_port 445 port 10-26 deny
config access_profile profile_id 20 add access_id 443 ip vlan 205 tcp dst_port 445 port 10-26 deny
config access_profile profile_id 20 add access_id 460 ip vlan 206 tcp dst_port 445 port 10-26 deny
config access_profile profile_id 20 add access_id 477 ip vlan 207 tcp dst_port 445 port 10-26 deny
config access_profile profile_id 20 add access_id 494 ip vlan 208 tcp dst_port 445 port 10-26 deny
config access_profile profile_id 20 add access_id 511 ip vlan 209 tcp dst_port 445 port 10-26 deny
config access_profile profile_id 20 add access_id 528 ip vlan 210 tcp dst_port 445 port 10-26 deny
config access_profile profile_id 20 add access_id 545 ip vlan 211 tcp dst_port 445 port 10-26 deny
config access_profile profile_id 20 add access_id 562 ip vlan 212 tcp dst_port 445 port 10-26 deny
config access_profile profile_id 20 add access_id 579 ip vlan 213 tcp dst_port 445 port 10-26 deny
config access_profile profile_id 20 add access_id 596 ip vlan 214 tcp dst_port 445 port 10-26 deny
config access_profile profile_id 20 add access_id 613 ip vlan 215 tcp dst_port 445 port 10-26 deny
config access_profile profile_id 20 add access_id 630 ip vlan 216 tcp dst_port 445 port 10-26 deny
config access_profile profile_id 20 add access_id 647 ip vlan 217 tcp dst_port 445 port 10-26 deny
config access_profile profile_id 20 add access_id 664 ip vlan 218 tcp dst_port 445 port 10-26 deny
config access_profile profile_id 20 add access_id 681 ip vlan 219 tcp dst_port 445 port 10-26 deny
config access_profile profile_id 20 add access_id 698 ip vlan 220 tcp dst_port 445 port 10-26 deny
config access_profile profile_id 20 add access_id 715 ip vlan 221 tcp dst_port 445 port 10-26 deny
config access_profile profile_id 20 add access_id 732 ip vlan 222 tcp dst_port 445 port 10-26 deny

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Ср фев 14, 2007 11:46

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Вы упёрлись в ограничение по 200 правил на каждые 8 пользовательских портов.

Вернуться наверх

SEA-Jay

Заголовок сообщения:

Добавлено: Ср фев 14, 2007 15:07

Зарегистрирован: Пн мар 15, 2004 13:25
Сообщений: 41
Откуда: Chita

это можно как нибудь обойти? или надо другой коммутатор?

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Ср фев 14, 2007 15:28

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Никак не обойти на этой серии.

Вернуться наверх

Pershin Sergey

Заголовок сообщения:

Добавлено: Ср фев 14, 2007 23:51

Зарегистрирован: Чт ноя 24, 2005 02:57
Сообщений: 33
Откуда: Moscow

можно использовать packet_context_mask, и фильтровать группами по 4, 8, 16 и.т.д. VLAN'а подряд
например, с 97го по 128 (одно правило), со 129го по 160 (второе правило)

Вернуться наверх

Страница 1 из 2

[ Сообщений: 22 ]

На страницу 1, 2 След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 18

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения