1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Чт авг 21, 2025 05:03

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 2
  [ Сообщений: 27 ]  На страницу 1, 2  След.
  Предыдущая тема | Следующая тема 
Автор Сообщение
[anp/hsw]
 Заголовок сообщения: 3526 - помогите составить немного ACL
СообщениеДобавлено: Чт апр 30, 2009 12:20 
Не в сети

Зарегистрирован: Пт янв 06, 2006 23:01
Сообщений: 46
Откуда: Nowosibirsk
клиенты - порты 1-24, аплинки 25-26

собственно хочется:
1. запретить доставку broadcast и multicast между клиентами.
2. разрешить unicast и arp между клиентами
3. запретить подменять MAC и IP шлюза (с этим вроде разобрался уже)

собственно в свичах на базе RTL8326 все должно решаться лего и непринужденно (у них есть такая фича "unicast packet inter-vlan leaky" и "arp packet inter-vlan leaky"

но не нашел как это сделать через ACL.
может не туда копаю?
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Пт май 01, 2009 13:19 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Вот эти FAQ должны помочь:

http://www.dlink.ru/ru/faq/62/240.html
http://www.dlink.ru/ru/faq/62/252.html

Просто разрешите трафик с определённых хостов с поределённых портов. По поводу Broadcast тоже можно по destination IP.

А вот Multicast правильнее всего закрывать следующим образом. Настраиваете правильно IGMP Snooping http://www.dlink.ru/ru/faq/58/264.html и затем при помощи limited multicast address ranges и forbidden router ports запрещаете вещание с порта и на порт.
Вернуться наверх
 Профиль  
 
spruce
 Заголовок сообщения:
СообщениеДобавлено: Пн июн 01, 2009 18:47 
Не в сети

Зарегистрирован: Чт апр 12, 2007 20:10
Сообщений: 141
Откуда: Московская область
Можете подсказать по такому вопросу:
У DES-3526 есть очень полезная функция arp_spoofing_prevention, не могли бы Вы написать пример ACL команд для DGS-3200-10, которые бы выполняли ту же функцию?
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Пн июн 01, 2009 21:44 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
По аналогии вот с этим FAQ http://www.dlink.ru/ru/faq/62/252.html
Вернуться наверх
 Профиль  
 
spruce
 Заголовок сообщения:
СообщениеДобавлено: Вт июн 02, 2009 07:42 
Не в сети

Зарегистрирован: Чт апр 12, 2007 20:10
Сообщений: 141
Откуда: Московская область
Demin Ivan писал(а):
По аналогии вот с этим FAQ http://www.dlink.ru/ru/faq/62/252.html
Спасибо. Буду пробовать.
Вернуться наверх
 Профиль  
 
spruce
 Заголовок сообщения:
СообщениеДобавлено: Пт июн 19, 2009 12:57 
Не в сети

Зарегистрирован: Чт апр 12, 2007 20:10
Сообщений: 141
Откуда: Московская область
Demin Ivan писал(а):
По аналогии вот с этим FAQ http://www.dlink.ru/ru/faq/62/252.html

Добрый день, воспользовавшись вашим советом, никак не могу найти соответсвия между DES-3526
Код:
create access_profile packet_content_mask offset_16-31 0xFFFF0000 0x0 0xF0000 0x0 offset_32-47 0xFFFFFFFF 0x0 0x0 0x0 profile_id 30

и DGS-3200-10, а так же DGS-3627G:

Код:
create access_profile profile_id 1 packet_content_mask offset_chunk_1 <value 0-31>


подскажите как сопоставить инструкцию по ссылке и систему команд у DGS-3200-10 и DGS-3627G?
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения:
СообщениеДобавлено: Пт июн 19, 2009 13:36 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Можете ознакомиться с примерами для DGS-3600: http://www.dlink.ru/ru/faq/62/892.html
Вернуться наверх
 Профиль  
 
spruce
 Заголовок сообщения:
СообщениеДобавлено: Сб июн 20, 2009 09:59 
Не в сети

Зарегистрирован: Чт апр 12, 2007 20:10
Сообщений: 141
Откуда: Московская область
При добавлении правила в DGS-3200-10 столкнулся со следующим.

у DES-3526 маска выглядит следующим образом:
Код:
Access Profile ID : 1                                      Type : Packet Content
================================================================================
Owner    : ARP_Spoofing_Prevention
Masks    :
Offset 0-15  : 0x00000000 0000ffff ffffffff 00000000
Offset 16-31 : 0xffff0000 00000000 0000ffff ffffffff
Offset 32-47 : 0xffffffff 00000000 00000000 00000000

я так понял, что для DGS-3200-10 это будет выглядеть следующим образом:

chunk2 - 0xFFFFFFFF
chunk3 - 0xFFFF0000
chunk4 - 0x0000FFFF
chunk7 - 0xFFFFFFFF
chunk8 - 0xFFFFFFFF
chunk9 - 0xFFFF0000

Когда пишу команду, то я могу ввести только первые 4 chunk:
Код:
create access_profile profile_id 1 packet_content_mask offset_chunk_1 2 0xFFFFFFFF offset_chunk_2 3 0xFFFF0000 offset_chunk_3 4 0xFFFF offset_chunk_4 7 0xFFFFFFFF


как мне добавить еще 2 chunk? Ввести еще одну create access_profile....?

И еще один вопросик: А чем отличается access_profile packet_content_mask от cpu access_profile packet_content_mask?
Вернуться наверх
 Профиль  
 
spruce
 Заголовок сообщения:
СообщениеДобавлено: Пн июн 22, 2009 09:27 
Не в сети

Зарегистрирован: Чт апр 12, 2007 20:10
Сообщений: 141
Откуда: Московская область
Что то я уже ничего не понимаю.. Как так на DGS-3627G и на DGS-3200-10 можно создать только один профиль ACL для фильтрации пакетов по их содержимому?


Код:
DGS-3627G:5#show access_profile
Command: show access_profile

Access Profile Table

Total Unused Rule Entries:1792
Total Used Rule Entries  :0


Access Profile ID: 1                                      Type : Packet Content
================================================================================
Owner       : ACL
MASK Option :
offset_chunk_1 : 3      value : 0x0000FFFF
offset_chunk_2 : 6      value : 0xFFFFFFFF
offset_chunk_3 : 7      value : 0xFFFFFFFF
offset_chunk_4 : 8      value : 0xFFFF0000

================================================================================
Unused Entries: 128



DGS-3627G:5#create access_profile profile_id 2 packet_content_mask offset_chunk_1  3 0xFFFF offset_chunk_2 7 0xFFFF offset_chunk_3 8 0xFFFF0000
Command: create access_profile profile_id 2 packet_content_mask offset_chunk_1 3 0xFFFF offset_chunk_2 7 0xFFFF offset_chunk_3 8 0xFFFF0000

 Only one packet content profile can be created!

Fail!



Помогите плиз...
Вернуться наверх
 Профиль  
 
svsh1990
 Заголовок сообщения:
СообщениеДобавлено: Пн июн 22, 2009 11:28 
Не в сети

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль
spruce писал(а):
Код:
Only one packet content profile can be created!


а что собственно непонятно? всё же написано.

_________________
LiveComm
Вернуться наверх
 Профиль  
 
spruce
 Заголовок сообщения:
СообщениеДобавлено: Пн июн 22, 2009 12:37 
Не в сети

Зарегистрирован: Чт апр 12, 2007 20:10
Сообщений: 141
Откуда: Московская область
Получается, что функционал des3526 лучше, чем у dgs3627g. Хотя первый ставят на уровень доступа, а второй на агрегацию и даже ядро... Мне не верится, что 3627 не умеет это...
Вернуться наверх
 Профиль  
 
Alexandr Zaitsev
 Заголовок сообщения:
СообщениеДобавлено: Пн июн 22, 2009 15:14 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow
Фильтровать пользовательский трафик это дело коммутаторов доступа, а не ядра, поэтому DES-3526 в этом плане имеет функционал поболее чем DGS-3600
Вернуться наверх
 Профиль  
 
spruce
 Заголовок сообщения:
СообщениеДобавлено: Пн июн 22, 2009 15:42 
Не в сети

Зарегистрирован: Чт апр 12, 2007 20:10
Сообщений: 141
Откуда: Московская область
А DGS-3200-10 к чему относится? У него эти настройки один в один с DGS-3627G...Вообще конечно странно, что такой свитч урезан в фильтрации трафика..

У меня проблема с ARP Spoofing`ом. Там где стоят DES-3526 и DES-3828 проблем нет. А вот где стоят DES-3010G, DGS-3200-10 и на агрегации всего этого добра DGS-3627G, то постоянно возникают проблемы.

Я так понял, что на DGS-3627G и DGS-3200-10 такого функционала, как на DES-3xxx, ждать не стоит?

С удовольствием заменил бы DGS-3200-10 и DES-3010G на DES-3526, но там не позволяют габариты устройства.
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Вт июн 23, 2009 01:41 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Это зависит от чипсета. В DGS-32XX он несколько попроще чем в DES-35XX хотя весь основной функционал есть.
Вернуться наверх
 Профиль  
 
spruce
 Заголовок сообщения:
СообщениеДобавлено: Вт июн 23, 2009 06:53 
Не в сети

Зарегистрирован: Чт апр 12, 2007 20:10
Сообщений: 141
Откуда: Московская область
Demin Ivan писал(а):
Это зависит от чипсета. В DGS-32XX он несколько попроще чем в DES-35XX хотя весь основной функционал есть.

С DGS-32xx всё ясно.

А с DGS-3627G? В одной из тем прошлых лет viewtopic.php?t=52449&postdays=0&postorder=asc&start=15 Вы сказали, что если не хватает правила в DGS3627G, можно разбить на два правила? Что имелось ввиду? У меня не получается вообще создать второе правило с фильтрацией по содержимому пакета.
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 2
  [ Сообщений: 27 ]  На страницу 1, 2  След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 23

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB