Также интересует вопрос настройки DGS-3200-10.
Используются всего 2 порта, в 1 воткнута крупная сеть трафик из которой надо частично блокировать, во 2 воткнут радиоканал, для обеспечения стабильности работы которого собственно и стоит коммутатор. через радиоканал подключено всего 2 машины, траффик на которые и с которых надо пропускать. В настоящее время используются следующие правила:
Код:
create access_profile ethernet ethernet_type profile_id 1
config access_profile profile_id 1 add access_id auto_assign ethernet ethernet_type 0x806 port 1 permit
create access_profile ip tcp dst_port_mask 0xffff profile_id 2
config access_profile profile_id 2 add access_id auto_assign ip tcp dst_port 135 port 1 deny
config access_profile profile_id 2 add access_id auto_assign ip tcp dst_port 139 port 1 deny
config access_profile profile_id 2 add access_id auto_assign ip tcp dst_port 445 port 1 deny
config access_profile profile_id 2 add access_id auto_assign ip tcp dst_port 593 port 1 deny
config access_profile profile_id 2 add access_id auto_assign ip tcp dst_port 2869 port 1 deny
create access_profile ip udp dst_port_mask 0xffff profile_id 3
config access_profile profile_id 3 add access_id auto_assign ip udp dst_port 67 port 1 deny
config access_profile profile_id 3 add access_id auto_assign ip udp dst_port 68 port 1 deny
config access_profile profile_id 3 add access_id auto_assign ip udp dst_port 137 port 1 deny
config access_profile profile_id 3 add access_id auto_assign ip udp dst_port 138 port 1 deny
config access_profile profile_id 3 add access_id auto_assign ip udp dst_port 445 port 1 deny
config access_profile profile_id 3 add access_id auto_assign ip udp dst_port 1900 port 1 deny
create access_profile ethernet destination_mac ff-ff-ff-ff-ff-ff profile_id 4
config access_profile profile_id 4 add access_id 1 ethernet destination_mac ff-ff-ff-ff-ff-ff port 1 deny
create access_profile ethernet ethernet_type profile_id 5
config access_profile profile_id 5 add access_id auto_assign ethernet ethernet_type 0x800 port 1 permit
create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 6
config access_profile profile_id 6 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1 deny
При этих настройках в радиоканал валятся все ARP броадкасты из сети, что вполне очевидно учитывая первое правило, если я запрещаю все ARP пакеты первым правилом то у людей на радиоканале отваливается сеть. Если разрешить ARP, из сети валится довольно много ARP пакетов, присутсвие которых в радиоканале нежелательно, причем периодически от некоторых "одаренных" пользователей сети начинается жуткий ARP флуд на IP 192.168.0.1, который серьезно снижает пропускную способность радиоканала.
Каким образом следует указать правила для блокирования ARP броадкаста со всех машин кроме двух подключеных во 2 порт, допустим с IP 10.20.30.40 и 10.20.30.41 и мак адресами 11-22-33-44-55-66 и 11-22-33-44-77 сответсвенно, возможно ли это? Можно ли как то разрешить доступ в сеть только для этих машин, а также доступ из сети только к этим машинам? В первую очередь важна стабильная работа интернета который работает через VPN.
Еще вопрос по блокированию пакетов с определенного мак адреса, я правильно понимаю что создавая правило
Код:
create access_profile ethernet destination_mac ff-ff-ff-ff-ff-ff profile_id 4
я задаю маску мак адресов которые могут входить в это правило? и конфигурируя это правило путем
Код:
config access_profile profile_id 4 add access_id 2 ethernet destination_mac 22-33-44-55-66-77 port 1 deny
я блокирую траффик с мак адреса 22-33-44-55-66-77?
Какая очередность выполнения правил? Куда следует поместить правило блокирующее пакеты с определенного мак адреса в случае если с человека сыпется ARP флуд, а я его первым правилом разрешил? Логично предположить что в самом конце, или я ошибаюсь?
den68
Возможно вы что то путаете, HDMI используется для передачи высококачественного изображения и звука, к сетевым технологиям отношения не имеет.
Вход
Регистрация
FAQ
Поиск
HDMI шнурок (High-Definition Multimedia Interface)