ДАНО:
DES-3550
Сервер - 10.0.0.1 - подключен к порту 48
Рабочая станция - подключена к порту 2

ЗАДАЧА:
Сделать так, чтобы исключить прохождение случайных пакетов с source_ip=10.0.0.1 на порту 2 (например, при ошибочной настройке интерфейса на рабочей станции).


Если прописать ACL, чтобы разрешить на порту коммутатора IP-адрес для порта 2, то все равно будет доступ к CPU и при ошибочной настройке рабочей станции выявится совпадение ip-адресов.

Функция CPU Interface Filtering тоже не поможет, так как у ней нет привязки к Port Number как у Access Profile Table.

Подскажите правильный путь?

IP-MAC binding

IP-MAC-Port Binding конечно с возможностью блокировки первого ARP-пакета.

1. Почему в данной ситуации не работает метод из FAQ "Как разрешить на порту коммутатора серии DES-35XX один IP-адрес и запретить все остальные (без использования функции IP-MAC-Port Binding)?"
http://www.dlink.ru/technical/faq_hub_switch_83.php

2. При выполнении этой настройки доступ к свичу имеет любой ip (а не только один, как это звучит в вопросе), подключенный через этот порт. Я считал, что настроив соответствующий порт на определенный ip мне не придется больше заниматься привязкой еще и MAC-адресов, что крайне неудобно при большом количестве клиентов. В чем тогда смысл этой настройки если она не отвечает на поставленный вопрос?

3. В моей сети к этому коммутатору будут подключаться другие свичи 3-го уровня (DES-1226G), поэтому прописывать более 150 MAC-адресов, для того чтобы блокировать ip, принадлежащий серверу, еще и на этом коммутаторе (DES-3550) крайне неудобно. Честно говоря, покупая коммутатор 2-го уровня, я думал, что теперь то я буду работать только с ip-адресами. Однако, как теперь выясняется, это не так. Есть ли другие варианты решения данной проблемы?

Перезвоните пожалуйста в офис по телефону 744-00-99 доб.390.

Все-таки, я не могу найти приемлемого решения.

Дано:
DES-3550 (установки заводские) - ip - 10.90.90.90
Сервер - 10.0.0.1 (порт 48)
Компьютер - 10.0.0.2 (порт 2)

Запускаю c компьютера ping до 10.90.90.90 и до 10.0.0.1 - идут ответы.

Для порта 2 выполняю полную блокировку ip:
create access_profile ip source_ip_mask 0.0.0.0 profile_id 20
config access_profile profile_id 20 add access_id 2 ip source_ip 0.0.0.0 port 2 deny

ping до 10.0.0.1 прекращается, а до 10.90.90.90 по-прежнему идет!!! (для меня это - абсолютно нелогично; почему пакеты не блокируются?)
На компьютере меняю адрес с 10.0.0.2 на 10.0.0.1 - вываливается конфликт ip-адресов, т.е. эта полная блокировка 2-го порта не работает!!!

Так же можно заблокировать протокол ARP для порта 2 ( ethernet, ethernet_type, 0x0806), но результат будет тот же.

Где выход?

Если маска сети 255.255.255.0 то подними клиентские IP повыше и попробуй прописать на клиентских портах
create access_profile ip source_ip_mask 255.255.255.252 profile_id 4
config access_profile profile_id 4 add access_id 1 ip source_ip 10.0.0.0 port 1-47 deny

_________________
D-Link User: DGS-3120-24, DGS-3324SR, DGS-3627G, DGS-3612G, DGS-3312SR, DGS-3100-24TG, DGS-3200-10, DES-3200-26, DES-3200-28, DES-3200-18, DES-3528, DES-3526, DES-3028, DES-1228, DES-2108, DES-2110, DES-3326SR, DMC-920, DMC-810.

Наверное, я не понимаю главного - порядка прохождения пакетов в коммутаторе и где к ним применяются правила обработки.
В вышеприведенном примере должно выполниться правило:
... ip source_ip 0.0.0.0 port 2 deny
и любой пакет с любым ip-адресом на 2-м порту должен быть отброшен и прекращено его прохождение через коммутатор (как, например, в iptables).

Может кто-нибудь разъяснит - как проходят пакеты в DES-3550?

Всё правильно. Доступ к интерфейсу свитча можно запретить либо функцией CPU Interface filtering, либо Trusted Host.

Хорошо, проведем еще 2 опыта.
DES-3550 (установки заводские) - ip - 10.90.90.90
Сервер - 10.0.0.1 (порт 48)
Компьютер - 10.0.0.2 (порт 2)

Для порта 2 выполняю блокировку пакетов с любым ip-адресом:
create access_profile ip source_ip_mask 0.0.0.0 profile_id 20
config access_profile profile_id 20 add access_id 2 ip source_ip 0.0.0.0 port 2 deny

1)
Меняю ip сервера на 192.168.16.1/24
Меняю ip компьютера на 192.168.16.1/24
На обоих машинах получил конфликт адресов, следовательно, пакеты прошли через коммутатор.

2)
Меняю ip сервера на 123.123.123.123/24
Меняю ip компьютера на 123.123.123.123/24
Снова, на обоих машинах получил конфликт адресов, следовательно, пакеты опять прошли через коммутатор.

Поскольку ip-трафик не фильтруется, настройка по FAQ "Как разрешить на порту коммутатора серии DES-35XX один IP-адрес и запретить все остальные (без использования функции IP-MAC-Port Binding)?"
http://www.dlink.ru/technical/faq_hub_switch_83.php
теряет смысл?

так фильтруется только входящий трафик на порту, следовательно:
не меняйте IP сервера, либо на его порту тоже пропишите ACL с разрешением только его IP и запретом всех остальных.
какую Вы задачу хотите выполнить?
запретить клиентам подмену IP сервера или серверу клиентов?
мой Вам совет использовать IP-MAC-Port Билдинг.
разнесите пользователей и оборудование по разным VLan'ам это будет правельно.

_________________
Спасибо.

Не всё в жизни физика, ещё есть тонкие материи. (с) дежавю

В результате я пришел к следующим выводам, поправте меня, если я не прав.

Я думаю, что по указанному выше FAQ (функция "Access Profile Table") фильтруется проходящий трафик (аналог цепочки FORWARD в iptables).
То, чем занимается "CPU Interface filtering" это, наверное, аналог цепочки INPUT в iptables, то есть фильтрация входящих пакетов.
И все было бы хорошо, если бы в этой функции была привязка к нужному порту.
Однако, в силу каких-либо причин, реализовать в полной мере это не удалось и поэтому любые ip пакеты, минуя обработку, появляются на портах, что собственно и порождает "дырявый ACL".

Цели мной преследуются вполне благородные:

1. Клиенты иногда ошибаются в настройках и прописывают ip-адрес сервера вместо своего. Таким образом, пакеты с исходящим ip-адресом сервера на клиентских портах должны быть отброшены.

2. В сети функционируют различные пакеты, не принадлежащие нужной сети, которые хотелось бы также отфильтровать на клиентских портах, не допуская их дальнейшнго появления на порту сервера.


То, что Вы предложили (прописать ACL на порту сервера только его ip) также не работает - пакеты все равно проходят из порта в порт.
Использовать IP-MAC Binding Port мне крайне неудобно - приходится выполнять двойную работу см. пункт 3 моего 2-го сообщения.
Для того и покупался коммутатор 2-го уровня, чтобы работать с ip-адресами.

Перезвоните пожалуйста в офис по телфону 744-00-99 доб. 390. Явно есть недопонимание некоторых вещей.

ладно с клиентами всё понятно? а почему у сервера IP меняется?
ведь этого в реальной жизни неслучается?

опять же разберитесь с тем как работают ACL в коммутаторе, сравнивать механизм с программым роутером грубоговоря не правельно, железяка она на то и железяка - что бы безперебойно "годами" выполнять те стандарты которые заложились 10-тилетиями.

нарисуте схему как у вас трафик ходите делжен: что запретить, а что разрешить. с удовольствием помогу с правилами.

на мой взгляд, тесты у вас немного не правельные, самый удачный был первый, за одним исключением, введите за правило управляющая сеть и сеть пользователей должна быть разная, а ещё лучше в разных VLan'ах поверьте стоимость сетевых на серверах с подержкой VLAN намного меньше чем нервы, головоломки (почему так) и кол. профилей в коммутаторе

p.s.:
у вас в эксперементах участвуют, 2 порта, а фильтуете только один.
опять же кроме исходящего адреса есть адрес назначения.

_________________
Спасибо.

Не всё в жизни физика, ещё есть тонкие материи. (с) дежавю

С межгородом проблемы. Кратко напишите на e-mail. Сохраню конфиденциальность.