1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Пт июл 25, 2025 16:58

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 2
  [ Сообщений: 23 ]  На страницу 1, 2  След.
  Предыдущая тема | Следующая тема 
Автор Сообщение
replicant
СообщениеДобавлено: Пт окт 17, 2008 16:36 
Не в сети

Зарегистрирован: Пт июн 27, 2008 14:54
Сообщений: 122
В чем ошибка ввода такой команды?

DES-3052:4#config access_profile profile_id 3 add access_id auto_assign packet_c
ontent_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x00
870000 0x0 port 1-52 deny


Профиль с ID3 создан и создался он нормально, а правила к профилю не применяются. Выдает в консоль

Command: config access_profile profile_id 3 add access_id auto_assign
Next possible completions:
ethernet ip packet_content

Пробовал через веб-интерфейс, но там он такой, что просто ничего не понятно. Проще через консоль, но в консоли ошибка.

На коммутаторе 3026 такой синтаксис прокатывает да и на всех остальных тоже.

Причем через веб-интерфейс отличаются CPU и ACL, в CPU все как у всех, а в ACL какая-то непонятность.

Я хочу сделать через ACL с консоли.
Вернуться наверх
 Профиль  
 
svsh1990
 Заголовок сообщения:
СообщениеДобавлено: Пт окт 17, 2008 17:18 
Не в сети

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль
replicant писал(а):
Next possible completions:
ethernet ip packet_content

по-моему и так все сказано ?

_________________
LiveComm
Вернуться наверх
 Профиль  
 
replicant
 Заголовок сообщения:
СообщениеДобавлено: Пт окт 17, 2008 17:39 
Не в сети

Зарегистрирован: Пт июн 27, 2008 14:54
Сообщений: 122
svsh1990 писал(а):
replicant писал(а):
Next possible completions:
ethernet ip packet_content

по-моему и так все сказано ?


С учетом того что сказано все равно не проходит.

Ссылается на offset.

Как надо переписать команду, чтобы заработало?
Вернуться наверх
 Профиль  
 
Daniil-B
 Заголовок сообщения:
СообщениеДобавлено: Пт окт 17, 2008 20:51 
Не в сети

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"
А профиль какой ?
Вернуться наверх
 Профиль  
 
svsh1990
 Заголовок сообщения:
СообщениеДобавлено: Пт окт 17, 2008 21:28 
Не в сети

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль
сравните то что пишите
replicant писал(а):
DES-3052:4#config access_profile profile_id 3 add access_id auto_assign packet_content_mask


и то что должно быть после auto_assign
replicant писал(а):
Command: config access_profile profile_id 3 add access_id auto_assign
Next possible completions:
ethernet ip packet_content

_________________
LiveComm
Вернуться наверх
 Профиль  
 
replicant
 Заголовок сообщения:
СообщениеДобавлено: Сб окт 18, 2008 12:08 
Не в сети

Зарегистрирован: Пт июн 27, 2008 14:54
Сообщений: 122
svsh1990 писал(а):
сравните то что пишите
replicant писал(а):
DES-3052:4#config access_profile profile_id 3 add access_id auto_assign packet_content_mask


и то что должно быть после auto_assign
replicant писал(а):
Command: config access_profile profile_id 3 add access_id auto_assign
Next possible completions:
ethernet ip packet_content


Хорошо. Я ему пишу DES-3052:4#config access_profile profile_id 3 add access_id auto_assign packet_content

А он мне
Next possible completions:
offset

Есс-но я не мог не указать offset, но он ему не нравится.

Профиль ACL вполне стандартный:

create access_profile packet_content_mask offset_16-31 0xffff0000 0x0 0x00ff0000 0x0 offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 3

И эта команда по созданию профиля прошла отлично, а вот правило в профиль не принимает.
Вернуться наверх
 Профиль  
 
svsh1990
 Заголовок сообщения:
СообщениеДобавлено: Сб окт 18, 2008 12:47 
Не в сети

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль
replicant писал(а):
Хорошо. Я ему пишу DES-3052:4#config access_profile profile_id 3 add access_id auto_assign packet_content

А он мне
Next possible completions:
offset

Есс-но я не мог не указать offset, но он ему не нравится.


дык и пишите дальше offset. коммутатор всегда подсказывает что нужно делать дальше.

_________________
LiveComm
Вернуться наверх
 Профиль  
 
Daniil-B
 Заголовок сообщения:
СообщениеДобавлено: Сб окт 18, 2008 20:25 
Не в сети

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"
Всё верно: на данном коммутаторе в правиле offset_16-31 или идентичные не прокатывают.
Указывается начальный байт сравнения .
В твоём варианте:
offset 16 0x08000000 offset 25 0x00000000 offset 40 0x00870000

Рабочая версия будет выглядеть так:
Код:
config access_profile profile_id 3 add access_id auto_assign packet_content offset 16 0x8000000 offset 25 0x0 offset 40 0x870000 port 1-52 deny


Да, и у меня вопрос, у вас все порты тегированные ?
Вернуться наверх
 Профиль  
 
replicant
 Заголовок сообщения:
СообщениеДобавлено: Ср окт 22, 2008 11:36 
Не в сети

Зарегистрирован: Пт июн 27, 2008 14:54
Сообщений: 122
Daniil-B писал(а):
Всё верно: на данном коммутаторе в правиле offset_16-31 или идентичные не прокатывают.
Указывается начальный байт сравнения .
В твоём варианте:
offset 16 0x08000000 offset 25 0x00000000 offset 40 0x00870000

Рабочая версия будет выглядеть так:
Код:
config access_profile profile_id 3 add access_id auto_assign packet_content offset 16 0x8000000 offset 25 0x0 offset 40 0x870000 port 1-52 deny


Да, и у меня вопрос, у вас все порты тегированные ?


Спасибо за ответ. Попробую сделать команду.

Порты не тегированные. У меня несколько VLAN и все, но нужно отфильтровать трафик.
Вернуться наверх
 Профиль  
 
Daniil-B
 Заголовок сообщения:
СообщениеДобавлено: Ср окт 22, 2008 16:10 
Не в сети

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"
Если порты не тегированные, это правило работать не будет .
Особенность данной модели ...
Сдвигаем пакет на четыре байта взад ... с 12 по 15

Кстати, а что сие правило должно резать?
Я, конечно, догадываюсь, но хотелось бы услышать автора ...
Вернуться наверх
 Профиль  
 
replicant
 Заголовок сообщения:
СообщениеДобавлено: Вс окт 26, 2008 11:58 
Не в сети

Зарегистрирован: Пт июн 27, 2008 14:54
Сообщений: 122
Daniil-B писал(а):
Если порты не тегированные, это правило работать не будет .
Особенность данной модели ...
Сдвигаем пакет на четыре байта взад ... с 12 по 15

Кстати, а что сие правило должно резать?
Я, конечно, догадываюсь, но хотелось бы услышать автора ...


Но вот такая конструкция работает на других коммутаторах с нетегированными портами.

через PCF

Код:
# протокол IP + пакет не фрагментирован + порт 135, 137, 138, 139, 445
create access_profile                                        packet_content_mask offset_16-31 0xffff0000 0x0 0x00ff0000 0x0 offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 1
config access_profile profile_id 1 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x00870000 0x0 port 1-26 deny
config access_profile profile_id 1 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x00890000 0x0 port 1-26 deny
config access_profile profile_id 1 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x008a0000 0x0 port 1-26 deny
config access_profile profile_id 1 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x008b0000 0x0 port 1-26 deny
config access_profile profile_id 1 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x01bd0000 0x0 port 1-26 deny

# протокол IP + пакет не фрагментирован + протокол TCP/UDP + порт 1900, 2869
create access_profile                                        packet_content_mask offset_16-31 0xffff0000 0x0 0x00ff00ff 0x0 offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 2
config access_profile profile_id 2 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000011 0x0 offset_32-47 0x0 0x0 0x076c0000 0x0 port 1-25 deny
config access_profile profile_id 2 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000006 0x0 offset_32-47 0x0 0x0 0x0b350000 0x0 port 1-25 deny


Почему здесь она не будет работать?
Вернуться наверх
 Профиль  
 
Daniil-B
 Заголовок сообщения:
СообщениеДобавлено: Вс окт 26, 2008 12:05 
Не в сети

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"
Daniil-B писал(а):
Если порты не тегированные, это правило работать не будет .
Особенность данной модели ...
Сдвигаем пакет на четыре байта взад ... с 12 по 15

А проверить .. ?
Вернуться наверх
 Профиль  
 
replicant
 Заголовок сообщения:
СообщениеДобавлено: Вс окт 26, 2008 12:10 
Не в сети

Зарегистрирован: Пт июн 27, 2008 14:54
Сообщений: 122
Daniil-B писал(а):
Сдвигаем пакет на четыре байта взад ... с 12 по 15


Тогда как будут выглядеть правила для данной модели с учетом нетегированных портов?

Что предлагалось проверить в последнем сообщении?

Я опирался на этот материал http://www.dlink.ru/technical/faq_hub_switch_90.php
Вернуться наверх
 Профиль  
 
Daniil-B
 Заголовок сообщения:
СообщениеДобавлено: Вс окт 26, 2008 12:16 
Не в сети

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"
replicant писал(а):
Тогда как будут выглядеть правила для данной модели с учетом нетегированных портов?

Код:
create access_profile packet_content_mask offset_0-15 0x0 0x0 0x0 0xffff0000 offset_16-31 0x0 0x00ff0000 0x0 0x0 offset_32-47 0x0 0xffff0000 0x0  0x0 profile_id 3

config access_profile profile_id 3 add access_id auto_assign packet_content offset 12 0x8000000 offset 21 0x0 offset 36 0x870000 port 1-52 deny

Вроде не ошибся.
Цитата:
Что предлагалось проверить в последнем сообщении?

Работоспособность вашего варианта.
Цитата:
Я опирался на этот материал http://www.dlink.ru/technical/faq_hub_switch_90.php

Это правильный материалл.
Но он базируется на моделе 3526, где всё просто и понятно.
3028 имеет некоторые особенности, как в листинге, так и в обработке праил.


Последний раз редактировалось Daniil-B Вс окт 26, 2008 12:24, всего редактировалось 2 раз(а).

Вернуться наверх
 Профиль  
 
replicant
 Заголовок сообщения:
СообщениеДобавлено: Вс окт 26, 2008 12:20 
Не в сети

Зарегистрирован: Пт июн 27, 2008 14:54
Сообщений: 122
Daniil-B писал(а):
3028 имеет некоторые особенности, как в листинге, так и в обработке праил.


У меня DES-3052, а не 3028, на котором кстати у меня все нормально. А прошивка другой версии эту особенность коммутатора не убирает?

А как быть с цитатой из FAQ по ссылке выше?

Цитата:
Исходя из этого приведем данные к более удобному варианту:

0000 00115b4f 219f0011 5b31b9e7 08004500
0010 00305b91 40008006 1d7bc0a8 0065c0a8
0020 00060746 01bdbee9 ca670000 00007002
0030 ffff6f0f 00000204 05b40101 0402
Т.к внутри свитча пакеты всегда тегированы, вне зависимости от того назначали вы тег или нет, то заполним символами „х“ данные с 12 по 15 байт (в свитче эти байты заполняются информацией о VLAN). Обратите внимание - у Вас в этих байтах могут быть данные, которые Вы захотите использовать для написания ACL:

0000 00115b4f 219f0011 5b31b9e7 xxххххxx
0010 08004500 00305b91 40008006 1d7bc0a8
0020 0065c0a8 00060746 01bdbee9 ca670000
0030 00007002 ffff6f0f 00000204 05b40101
0040 0402


Последний раз редактировалось replicant Вс окт 26, 2008 12:31, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 2
  [ Сообщений: 23 ]  На страницу 1, 2  След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 26

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB