D-Link • Просмотр темы - Не работает ACL на des-3028 (выделение только PPPoE)

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Не работает ACL на des-3028 (выделение только PPPoE)

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 1

[ Сообщений: 10 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

disappointed

Заголовок сообщения: Не работает ACL на des-3028 (выделение только PPPoE)

Добавлено: Сб окт 25, 2008 23:17

Зарегистрирован: Чт окт 27, 2005 19:22
Сообщений: 71
Откуда: Tyumen

Требуется убить все кадры кроме PPPoE. Тестируем на миникампусе на дес-3028, за портом 28 линк на тестовый дом.

Делаю.

Код:

create access_profile ethernet ethernet_type profile_id 1 

config access_profile profile_id 1 add access_id auto_assign ethernet ethernet_type 0x8863 port 28 permit 
config access_profile profile_id 1 add access_id auto_assign ethernet ethernet_type 0x8864 port 28 permit 

create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 2

config access_profile profile_id 2 add access_id auto_assign ethernet source_mac 00-00-00-00-00-00 port 28 deny

Абоненты отваливаются.
Может быть некая тонкость которую я не замечаю?

Прошивка 1.00-B32

Вернуться наверх

disappointed

Заголовок сообщения:

Добавлено: Сб окт 25, 2008 23:58

Зарегистрирован: Чт окт 27, 2005 19:22
Сообщений: 71
Откуда: Tyumen

Уточню, свитч смотрит тегированным портом на районный узел, на него приходят ещё два вилана выкинутые на пару портов.

Если это имеет значение конечно, на дом смотрит обычный untagged.

Вернуться наверх

disappointed

Заголовок сообщения:

Добавлено: Вс окт 26, 2008 00:32

Зарегистрирован: Чт окт 27, 2005 19:22
Сообщений: 71
Откуда: Tyumen

Опытным путём нашёл что

Код:

create access_profile ethernet ethernet_type profile_id 1 

config access_profile profile_id 1 add access_id auto_assign ethernet ethernet_type 0x8863 port 28 deny
config access_profile profile_id 1 add access_id auto_assign ethernet ethernet_type 0x8864 port 28 deny

работает,

но

Код:

create access_profile ethernet ethernet_type profile_id 1 

config access_profile profile_id 1 add access_id auto_assign ethernet ethernet_type 0x8863 port 28 permit 
config access_profile profile_id 1 add access_id auto_assign ethernet ethernet_type 0x8864 port 28 permit

не работает.

profile_id 2 с deny перекрывает разрешения в profile_id 1

Вернуться наверх

NoFX

Заголовок сообщения:

Добавлено: Вс окт 26, 2008 08:08

Зарегистрирован: Ср фев 20, 2008 14:12
Сообщений: 353

а вы уверены что для работы PPPoE достаточно только 0x8863 и 0x8864?
мб там еще 0x0806 должен быть?
и не забывайте что правило работает только для входящих для порта пакетов.

Вернуться наверх

disappointed

Заголовок сообщения:

Добавлено: Вс окт 26, 2008 09:52

Зарегистрирован: Чт окт 27, 2005 19:22
Сообщений: 71
Откуда: Tyumen

0x0806 - нет такого, это арп, в пппое нет ip адресов.
Я понимаю что только для входящих, но почему сам по себе один

Код:

create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 2 

config access_profile profile_id 2 add access_id auto_assign ethernet source_mac 00-00-00-00-00-00 port 28 deny

Блокирует всё.

Точно также блокируется _только_ PPPoE если сделать один профиль

Код:

create access_profile ethernet ethernet_type profile_id 1 

config access_profile profile_id 1 add access_id auto_assign ethernet ethernet_type 0x8863 port 28 deny 
config access_profile profile_id 1 add access_id auto_assign ethernet ethernet_type 0x8864 port 28 deny

Вроде как всё логично работает.
А стоит заменить deny на permit и добавить второй профиль как вся логика рассыпается и начинает просто блокироваться всё.
??

Вернуться наверх

NoFX

Заголовок сообщения:

Добавлено: Вс окт 26, 2008 18:29

Зарегистрирован: Ср фев 20, 2008 14:12
Сообщений: 353

т.е. вы даже снифером не видите пакеты 0x8863 0x8864 ?
по идее если у вас все таки все пакеты перекрываются вторым профилем вы ничего не должны увидеть если порт смиррорить, если же там будут какие то пакеты значит вы что то еще забыли разрешить, все логично в принципе.

Вернуться наверх

disappointed

Заголовок сообщения:

Добавлено: Вс окт 26, 2008 19:36

Зарегистрирован: Чт окт 27, 2005 19:22
Сообщений: 71
Откуда: Tyumen

В PPPoE только два типа кадров 8863 и 8864, более нет...
На сиськах 29хх всё без проблем конфигурится.
А тут как бы миникампус вынесенный от 29хх, на несколько домов, и усложнено подачей пары виланов туда же, поэтому приходится фильтрацию уже на 3028 делать.

Второй профиль напрочь перекрывает первый. Вот и вопрос - почему.

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Вт окт 28, 2008 01:27

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Попробуйте пожалуйста прошивку, которуя я Вам выслал.

Вернуться наверх

disappointed

Заголовок сообщения:

Добавлено: Вт окт 28, 2008 23:26

Зарегистрирован: Чт окт 27, 2005 19:22
Сообщений: 71
Откуда: Tyumen

Помогло, заодно лупдетект включил. Спасибо.

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Вт окт 28, 2008 23:29

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Рад слышать!

Вернуться наверх

Страница 1 из 1

[ Сообщений: 10 ]

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot], VVV_164 и гости: 24

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения