D-Link • Просмотр темы

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

des-3828 STP acl

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 1

[ Сообщений: 13 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

d_a_nikulin

Заголовок сообщения: des-3828 STP acl

Добавлено: Пт мар 30, 2007 13:18

Зарегистрирован: Чт окт 14, 2004 10:36
Сообщений: 154
Откуда: Курск

В новых прошивках des-3828 стали фильтроваться STP пакеты.
Приведите пример пожалуйста как написать acl для пропуска stp пакетов.

спасибо.

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Пт мар 30, 2007 13:40

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

У Вас FBPDU включён?

Вернуться наверх

d_a_nikulin

Заголовок сообщения:

Добавлено: Вт апр 03, 2007 09:07

Зарегистрирован: Чт окт 14, 2004 10:36
Сообщений: 154
Откуда: Курск

А при чем сдесь BPDU? (это из серии зачем мне холодильник если я не курю)
Я пример для ACL что бы STP пропускал просил.
Ситуация следующая стоит acl разрешающий пропуск трафика на управления свичём токо с vlan 1. STP не работает (потому что PVID на портах куда приходят STP пакеты стоит не 1). Отключаю ACL STP работает.

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Вт апр 03, 2007 09:30

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

В этом случае нельзя никак сделать. А FBPDU тут как раз причём напрямую. Вы не могли бы перезвонить в офис по телефону 744-00-99 доб.390.

Вернуться наверх

d_a_nikulin

Заголовок сообщения:

Добавлено: Вт апр 03, 2007 10:02

Зарегистрирован: Чт окт 14, 2004 10:36
Сообщений: 154
Откуда: Курск

fpbdu включить или выключить.
Дело в том что я перепробовал все варианты. прежде того
как дадумался отключить ACL. И не чего не работало.

Сложность написания ACL заключается в том что stp от dlink бегает в фреймах 802.3, а не в нормальных ethernet II.
Получается ACL не воиспреимчевы к 802.3?

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Вт апр 03, 2007 10:05

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Пакеты BPDU не фильтруются ACL.

Вернуться наверх

d_a_nikulin

Заголовок сообщения:

Добавлено: Вт апр 03, 2007 10:29

Зарегистрирован: Чт окт 14, 2004 10:36
Сообщений: 154
Откуда: Курск

Я вижу обратное.

При установке в CPU Interface Filtering правила;
create cpu access_profile ethernet vlan profile_id 5
config cpu access_profile profile_id 5 add access_id 1 ethernet vlan default permit
И установке на порт где работает STP pvid отличный от 1.

Пакеты fbdu фильтруются. STP не работает.

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Вт апр 03, 2007 10:34

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Это не стандартные ACL, а CPU interface filtering. Естественно эта функция будет фильтровать.

Вернуться наверх

d_a_nikulin

Заголовок сообщения:

Добавлено: Вт апр 03, 2007 10:41

Зарегистрирован: Чт окт 14, 2004 10:36
Сообщений: 154
Откуда: Курск

Тогда вопрос как написать ACL что бы не фильтровать STP.
У меня не получается.

Вернуться наверх

d_a_nikulin

Заголовок сообщения:

Добавлено: Вт апр 03, 2007 10:46

Зарегистрирован: Чт окт 14, 2004 10:36
Сообщений: 154
Откуда: Курск

Точнее как написать ACL для CPU interface filtering что бы не фильтровать STP.
При наличии в CPU Interface Filtering правила;
create cpu access_profile ethernet vlan profile_id 5
config cpu access_profile profile_id 5 add access_id 1 ethernet vlan default permit

У меня не получается.

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Вт апр 03, 2007 10:49

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Пришлите конфиг файл коммутатора.

Вернуться наверх

d_a_nikulin

Заголовок сообщения:

Добавлено: Вт апр 03, 2007 12:26

Зарегистрирован: Чт окт 14, 2004 10:36
Сообщений: 154
Откуда: Курск

А у Вас когда Вы конфиг читаете прозрение наступает?

Вообщем надо добавить следущий ACL:

create cpu access_profile packet_content_mask offset_0-15 0xFFFFFFFF 0xFFFF0000 0x0 0x0 profile_id 3
config cpu access_profile profile_id 3 add access_id 1 packet_content_mask offset_0-15 0x180C200 0x0 0x0 0x0 permit

Т.к. Мак назначеня 18:0C:20:00:00:00 зарезевирован для STP bridges.

В cpu access_profile ACL в packet_content_mask для кадров 802.3 не работает коректно мне не удалось отфильтровать пакеты stp
вот с таким правилом:
create cpu access_profile packet_content_mask offset_0-15 0x0 0x0 0x0 0xFFFF profile_id 3
config cpu access_profile profile_id 3 add access_id 1 packet_content_mask offset_0-15 0x0 0x0 0x0 0x4242 permit

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Вт апр 03, 2007 12:29

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Нет, просто посмотреть все правила и настройки. Причём здесь прозрение?

Вернуться наверх

Страница 1 из 1

[ Сообщений: 13 ]

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 43

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения