D-Link • Просмотр темы - MAC+IP+VLAN+PORT DES-3028

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

MAC+IP+VLAN+PORT DES-3028

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 1

[ Сообщений: 7 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

p_alex

Заголовок сообщения: MAC+IP+VLAN+PORT DES-3028

Добавлено: Пн апр 27, 2009 10:46

Зарегистрирован: Ср мар 18, 2009 05:42
Сообщений: 3
Откуда: Иркутск

Здравствуйте.

Исходные данные:
1. Коммутатор DES-3028, Firmware Version Build 2.00.B28
2. 1-й порт на комутаторе клиентский, в него tagged vlan id 101,102,103

Задача:
В 1-ом порту - только в vlan id 102, исключить все входящие пакеты кроме (IP и ARP)
- source mac addr. = 00-09-0b-00-00-00
- source IP addr. = 172.16.0.1

Решение:
IP пакет

Код:

create access_profile packet_content_mask offset_0-15 0x0 0x0000ffff 0xffffffff 0x0000ffff offset_16-31 0x0 0x0 0x0 0x0000ffff offset_32-47 0xffff0000 0x0 0x0 0x0 profile_id 1

ARP пакет

Код:

create access_profile packet_content_mask offset_0-15 0x0 0x0000ffff 0xffffffff 0x0000ffff offset_32-47 0xffffffff 0x0 0x0 0x0 profile_id 2

DENY

Код:

create access_profile packet_content_mask offset_0-15 0x0 0x0 0x0 0x0000ffff profile_id 3

Создаем ACL

Код:

config access_profile profile_id 1 add access_id 1 packet_content offset 4 0x00000090 offset 8 0x0b000000 offset 12 0x00000066 offset 28 0x0000ac10 offset 32 0x00010000 port 1 permit
config access_profile profile_id 2 add access_id 1 packet_content offset 4 0x00000090 offset 8 0x0b000000 offset 12 0x00000066 offset 32 0xac100001 port 1 permit
config access_profile profile_id 3 add access_id 1 packet_content offset 12 0x00000066 port 1 deny

Не работает. Как минимум проходят все не валидные ARP запросы (source mac addr. отличается от разрешенного)
Что я сделал не правильно или чего не учел при создании правила?

Вернуться наверх

Sp!ZER

Заголовок сообщения: Re: MAC+IP+VLAN+PORT DES-3028

Добавлено: Пн апр 27, 2009 11:46

Зарегистрирован: Пт янв 21, 2005 19:15
Сообщений: 184
Откуда: St-Petersburg

Код:

delete access_profile all

create access_profile packet_content_mask offset_0-15 0x0 0x0 0xFFFFFFFF 0x0000FFFF offset_16-31 0xFFFF0000 0x0 0x0 0x0 offset_32-47 0xFFFFFFFF 0x0 0x0 0x0 profile_id 6

config access_profile profile_id 6 add access_id auto_assign packet_content offset 8 0x0b000000 offset 12 0x00000066 offset 16 0x08060000 32 0xac100001 port 1 permit
   
create access_profile packet_content_mask offset_0-15 0x0 0x0 0xFFFFFFFF 0x0000FFFF offset_16-31 0xFFFF0000 0x0 0x0 0x0000FFFF offset_32-47 0xFFFF0000 0x0 0x0 0x0 profile_id 7

config access_profile profile_id 7 add access_id auto_assign packet_content offset 8 0x0b000000 offset 12 0x00000066 offset 16 0x08000000 offset 30 0xac100001 port 1 permit
   
create access_profile packet_content_mask offset_0-15 0x0 0x0 0x0 0x0000FFFF offset_16-31 0xFFF00000 0x0 0x0 0x0 profile_id 8

config access_profile profile_id 8 add access_id auto_assign packet_content offset 12 0x00000066  offset 16 0x08000000 port 1 deny

Еслия я ничего не упустил то это должно сработать. Однако полный мак, проверить не удасться, так как количествой offset ов на один порт у коммутатора ограничено 5 штуками.

_________________
WBR. Sp!ZER

Вернуться наверх

p_alex

Заголовок сообщения:

Добавлено: Вт апр 28, 2009 05:23

Зарегистрирован: Ср мар 18, 2009 05:42
Сообщений: 3
Откуда: Иркутск

Не помогло....
А разве правило стоящее последним:

Код:

create access_profile packet_content_mask offset_0-15 0x0 0x0 0x0 0x0000FFFF profile_id 8
config access_profile profile_id 8 add access_id auto_assign packet_content offset 12 0x00000066 port 1 deny

Не должно блокировать все входящие пакеты в первом порту VLAN id 102 ?

Вернуться наверх

Sp!ZER

Заголовок сообщения:

Добавлено: Вт апр 28, 2009 10:27

Зарегистрирован: Пт янв 21, 2005 19:15
Сообщений: 184
Откуда: St-Petersburg

p_alex писал(а):

Не помогло....

Добавьте только рофиль 8 убедитесь что все пакеты зарезались. потом по очереди добавьте 6 и 7 профили.

p_alex писал(а):

А разве правило стоящее последним:

Код:

create access_profile packet_content_mask offset_0-15 0x0 0x0 0x0 0x0000FFFF profile_id 8
config access_profile profile_id 8 add access_id auto_assign packet_content offset 12 0x00000066 port 1 deny

Не должно блокировать все входящие пакеты в первом порту VLAN id 102 ?

Если все пактеты будешь "бить", то как будет работать протокол LoopDetection? чтобы петельку найти?

_________________
WBR. Sp!ZER

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Ср апр 29, 2009 00:16

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Лучше использовать прошивку которую я Вам выслал.

Вернуться наверх

p_alex

Заголовок сообщения:

Добавлено: Ср апр 29, 2009 03:42

Зарегистрирован: Ср мар 18, 2009 05:42
Сообщений: 3
Откуда: Иркутск

В том то и дело, что что запрещающее правило пропускало пакеты.

Sp!ZER писал(а):

Если все пактеты будешь "бить", то как будет работать протокол LoopDetection? чтобы петельку найти?

Эти пакеты можно разрешить в VLAN'е с адресом назначения CF-00-00-00-00-00.

Demin Ivan писал(а):

Лучше использовать прошивку которую я Вам выслал.

Спасибо.
Прошивку я уже запросил в другом топике, выслали ту же самую - после обновления все заработало.

Всем спасибо за ответы.

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Ср апр 29, 2009 21:57

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Рад слышать!

Вернуться наверх

Страница 1 из 1

[ Сообщений: 7 ]

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: dimakaster, Google [Bot] и гости: 14

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения