1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Ср июл 23, 2025 16:15

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 6 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
Demiurgos
 Заголовок сообщения: Проблемка с ACL на DES-3028
СообщениеДобавлено: Пт окт 08, 2010 13:16 
Не в сети

Зарегистрирован: Ср мар 10, 2010 12:15
Сообщений: 128
Есть IP пакетики, которыми хотелось бы управлять. Примерное содержимое этих пакетиков указано ниже:

Код:
0x0000:  4500 0028 d811 4000 8006 c980 ac10 b081
0x0010:  c0a8 3c03 0614 0050 a54c b763 d513 5569
0x0020:  5011 ff0f c9f4 0000 0038 0000 0001

0x0000:  4500 003a 4e38 0000 8011 8ad2 ac10 af6a
0x0010:  5f81 a6ac 6110 8402 0026 1eee 4102 b302
0x0020:  e379 94a1 0000 0000 0038 0000 2d98 0000
0x0030:  0008 0000 0000 0000 0000 

0x0000:  4500 003a 2b0c 0000 7311 000a 6da0 ac4d
0x0010:  5f81 a32e d0f0 5731 0026 a46c 4102 a236
0x0020:  d331 f04c 0000 0000 0038 0000 6f7e 0000
0x0030:  0008 0000 0000 0000 0000


В качестве признака для отлавливания пакетов выбрано:
1) то-что они UDP (0x0009 - 11)
2) внутреннее содержимое пакетика (0x0028 - 00380000)

Добавив сюда заголовок Ethernet и учтя, что порт является тэгированным получили следующие правила ACL (для проверки запрещающее правило):

Код:
create access_profile  packet_content  offset_16-31  0x0 0x0 0xff 0x0 offset_48-63  0x0 0x0 0x0000ffff 0xffff0000  profile_id 1
config access_profile profile_id 10  add access_id 1  packet_content  offset 24 0x11 offset 56 0x00003800 offset 60 0x00000000  port 1-28 deny


Однако, после применения этого правила, указанные пакеты всё равно продолжают ходить.

Прошивка на свичах: Build 1.00.B06/Build 2.00.B27. Обновить проблематично.

Вопрос: это не работают правила на данной прошивке, или это из-за выбранного фильтра (меня смущают нули - 00380000), или всё-же я где-то не прав?
Вернуться наверх
 Профиль  
 
Bigarov Ruslan
 Заголовок сообщения:
СообщениеДобавлено: Пт окт 08, 2010 13:45 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
У Вас смещение не правильное, так как у tag пакетика должно быть так:
0x0010: 0800 4500 003a 4e38 0000 8011 8ad2 ac10

_________________
С уважением,
Бигаров Руслан.
Вернуться наверх
 Профиль  
 
Demiurgos
 Заголовок сообщения:
СообщениеДобавлено: Пт окт 08, 2010 14:01 
Не в сети

Зарегистрирован: Ср мар 10, 2010 12:15
Сообщений: 128
Цитата:
У Вас смещение не правильное, так как у tag пакетика должно быть так:


Я же написал:

Цитата:
Добавив сюда заголовок Ethernet и учтя, что порт является тэгированным получили следующие правила ACL (для проверки запрещающее правило):


UPD:
Да, извеняюсь. Я действительно немного просчитался, в положении поля "тип пакета IP".

Должно получиться следующее:

Код:
0x0000(00-15):  DDDDDDDD DDDDSSSS SSSSSSSS TTTTTTTT
0x0010(16-31):  08004500 0028d811 40008006 c980ac10 - offset_16-31  0x0 0xff 0x0 0x0
0x0020(32-47):  b081c0a8 3c030614 0050a54c b763d513
0x0030(48-63):  55695011 ff0fc9f4 00000038 00000001 - offset_48-63  0x0 0x0 0x0000ffff 0xffff0000


Т.е. в правила изменятся так:
Код:
create access_profile  packet_content  offset_16-31  0x0 0xff 0x0 0x0 offset_48-63  0x0 0x0 0x0000ffff 0xffff0000  profile_id 1
config access_profile profile_id 1  add access_id 1  packet_content  offset 20 0x11 offset 56 0x00003800 offset 60 0x00000000  port 1-28 deny


Сейчас проверю.

UPD: Неа - проходят
-------------------------------------------------
И всё же пятница даёт о себе знать.
В первом посте правило правильное для UDP протокола. То что я ниже написал неверно.

Первый пакет, который я представил в начале - не UDP(11) а TCP(06).

Так что вопрос из первого поста актуален.
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения:
СообщениеДобавлено: Пт окт 08, 2010 15:08 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
А что это за пакетики? Может легче будет воспользоваться не PCF, а другими типами ACL профилей.
Вернуться наверх
 Профиль  
 
Demiurgos
 Заголовок сообщения:
СообщениеДобавлено: Пт окт 08, 2010 15:13 
Не в сети

Зарегистрирован: Ср мар 10, 2010 12:15
Сообщений: 128
Denis Evgraphov писал(а):
А что это за пакетики? Может легче будет воспользоваться не PCF, а другими типами ACL профилей.


А какой другой тип ACL сможет долезть в пакете до смещения 56 - это уже внутреннее содержимое пакетов 4-го уровня
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения:
СообщениеДобавлено: Пт окт 08, 2010 15:16 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Тогда в первую очередь нужно обновить прошивку до актуальной версии.
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 6 ] 

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 42

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB