D-Link • Просмотр темы

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

ACL 3526

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 1

[ Сообщений: 8 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

romanse

Заголовок сообщения: ACL 3526

Добавлено: Пн янв 14, 2008 19:42

Зарегистрирован: Вт мар 06, 2007 12:22
Сообщений: 94

Firmware: Build 5.01-B09

вот текущий АЦЛ на дес 3526
# ACL

create access_profile ip tcp dst_port_mask 0xFFFF profile_id 1
config access_profile profile_id 1 add access_id 1 ip tcp dst_port 445 port 7 deny
config access_profile profile_id 1 add access_id 2 ip tcp dst_port 445 port 6 deny
config access_profile profile_id 1 add access_id 3 ip tcp dst_port 139 port 7 deny
config access_profile profile_id 1 add access_id 4 ip tcp dst_port 139 port 6 deny
config access_profile profile_id 1 add access_id 5 ip tcp dst_port 138 port 7 deny
config access_profile profile_id 1 add access_id 6 ip tcp dst_port 137 port 6 deny
config access_profile profile_id 1 add access_id 7 ip tcp dst_port 138 port 6 deny
config access_profile profile_id 1 add access_id 8 ip tcp dst_port 137 port 7 deny

create access_profile ip tcp src_port_mask 0xFFFF profile_id 2
config access_profile profile_id 2 add access_id 1 ip tcp src_port 445 port 7 deny
config access_profile profile_id 2 add access_id 2 ip tcp src_port 445 port 6 deny
config access_profile profile_id 2 add access_id 3 ip tcp src_port 139 port 7 deny
config access_profile profile_id 2 add access_id 4 ip tcp src_port 139 port 6 deny
config access_profile profile_id 2 add access_id 5 ip tcp dst_port 138 port 7 deny
config access_profile profile_id 2 add access_id 6 ip tcp dst_port 137 port 6 deny

create access_profile ip protocol_id_mask 0xFF user_define_mask 0x0 0x0 0x0 0x0 0x0 profile_id 3
config access_profile profile_id 3 add access_id 1 ip source_ip 0.0.0.0 destination_ip 192.168.10.1 protocol_id 47 user_define 0x0 0x0 0x0 0x0 0x0 port 7 permit priority 7 replace_priority

такое же практически правило он не хочет принимать
DES-3526:admin#config access_profile profile_id 3 add access_id 2 ip destination_ip 0.0.0.0 source_ip 192.168.10.1 protocol_id 47 port 7 permit priority 7 replace_priority
Command: config access_profile profile_id 3 add access_id 2 ip destination_ip 0.0.0.0 source_ip 192.168.10.1 protocol_id 47port 7 permit priority 7 replace_priority

Fail!

И я не могу полностью сделать чтобы gre пакеты "с" и "на" мой VPN сервер имели наивысший приоритет!

Например правила
config access_profile profile_id 3 add access_id 1 ip source_ip 0.0.0.0 destination_ip 192.168.10.1 protocol_id 47 port 6 permit priority 7 replace_priority

config access_profile profile_id 3 add access_id 2 ip source_ip 0.0.0.0 destination_ip 192.168.10.1 protocol_id 47 port 7 permit priority 7 replace_priority

ПРИНИМАЕТ

А ВОТ эти правила УЖЕ НЕ ПРИНИМАЕТ
DES-3526:admin# config access_profile profile_id 3 add access_id 3 ip source_ip
192.168.10.1 destination_ip 0.0.0.0 protocol_id 47 port 6 permit priority 7 repl
ace_priority
Command: config access_profile profile_id 3 add access_id 3 ip source_ip 192.168.10.1 destination_ip 0.0.0.0 protocol_id 47port 6 permit priority 7 replace_priority

Fail!

DES-3526:admin#
DES-3526:admin#config access_profile profile_id 3 add access_id 4 ip source_ip 1
92.168.10.1 destination_ip 0.0.0.0 protocol_id 47 port 7 permit priority 7 replace_priority
Command: config access_profile profile_id 3 add access_id 4 ip source_ip 192.168.10.1 destination_ip 0.0.0.0 protocol_id 47port 7 permit priority 7 replace_priority

Fail!

И так со многими правилами....
ИЛИ чего не так делаю...

[/b]

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Пн янв 14, 2008 21:03

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Немного не понял а в третьем профиле почему нет source_ip_mask и destination_ip_mask?

Вернуться наверх

romanse

Заголовок сообщения:

Добавлено: Чт янв 17, 2008 14:12

Зарегистрирован: Вт мар 06, 2007 12:22
Сообщений: 94

вот сделал с масками, но что-то не правильно сделал видимо не отрабатывают правила по повышению приоритета
# ACL

create access_profile ip tcp dst_port_mask 0xFFFF profile_id 1
config access_profile profile_id 1 add access_id 1 ip tcp dst_port 445 port 7 deny
config access_profile profile_id 1 add access_id 2 ip tcp dst_port 445 port 6 deny
config access_profile profile_id 1 add access_id 3 ip tcp dst_port 139 port 7 deny
config access_profile profile_id 1 add access_id 4 ip tcp dst_port 139 port 6 deny
config access_profile profile_id 1 add access_id 5 ip tcp dst_port 138 port 7 deny
config access_profile profile_id 1 add access_id 6 ip tcp dst_port 137 port 6 deny
config access_profile profile_id 1 add access_id 7 ip tcp dst_port 138 port 6 deny
config access_profile profile_id 1 add access_id 8 ip tcp dst_port 137 port 7 deny
config access_profile profile_id 1 add access_id 9 ip tcp dst_port 8767 port 7 deny
config access_profile profile_id 1 add access_id 10 ip tcp dst_port 8767 port 6 deny

create access_profile ip tcp src_port_mask 0xFFFF profile_id 2
config access_profile profile_id 2 add access_id 1 ip tcp src_port 445 port 7 deny
config access_profile profile_id 2 add access_id 2 ip tcp src_port 445 port 6 deny
config access_profile profile_id 2 add access_id 3 ip tcp src_port 139 port 7 deny
config access_profile profile_id 2 add access_id 4 ip tcp src_port 139 port 6 deny
config access_profile profile_id 2 add access_id 5 ip tcp src_port 138 port 7 deny
config access_profile profile_id 2 add access_id 6 ip tcp src_port 137 port 6 deny
config access_profile profile_id 2 add access_id 7 ip tcp src_port 138 port 6 deny
config access_profile profile_id 2 add access_id 8 ip tcp src_port 137 port 7 deny
config access_profile profile_id 2 add access_id 9 ip tcp src_port 8767 port 6 deny
config access_profile profile_id 2 add access_id 10 ip tcp src_port 8767 port 7 deny

create access_profile ip source_ip_mask 255.255.255.0 destination_ip_mask 255.255.255.255 protocol_id_mask 0xFF user_define_mask 0x0 0x0 0x0 0x0 0x0 profile_id 3
config access_profile profile_id 3 add access_id 1 ip source_ip 192.168.10.0 destination_ip 192.168.10.1 protocol_id 47 user_define 0x0 0x0 0x0 0x0 0x0 port 6 permit priority 7 replace_priority
config access_profile profile_id 3 add access_id 2 ip source_ip 192.168.10.0 destination_ip 192.168.10.1 protocol_id 47 user_define 0x0 0x0 0x0 0x0 0x0 port 7 permit priority 7 replace_priority

create access_profile ip source_ip_mask 255.255.255.255 destination_ip_mask 255.255.255.0 protocol_id_mask 0xFF user_define_mask 0x0 0x0 0x0 0x0 0x0 profile_id 4
config access_profile profile_id 4 add access_id 1 ip source_ip 192.168.10.1 destination_ip 192.168.10.0 protocol_id 47 user_define 0x0 0x0 0x0 0x0 0x0 port 6 permit priority 7 replace_priority
config access_profile profile_id 4 add access_id 2 ip source_ip 192.168.10.1 destination_ip 192.168.10.0 protocol_id 47 user_define 0x0 0x0 0x0 0x0 0x0 port 7 permit priority 7 replace_priority

то есть у меня свич 3526, в него воткнуты в 6 и 7 порты DWL 7700 AP я пытаюсь на этих портах повысить приоритет gre пакетов VPN сервер имеет ИП 192.168.10.1, абоненты имеют ИП адреса 192.168.2-254
они подключаются по PPTP и создаётся тунель междй клиентами 192.168.10.0/24 и сервером 192.168.10.1

профайл 3 и 4 - поидее в них правила должны повышать приоритет пакетов что приходящих с радио что уходящих на радио

смотрю tcpdump-ом на 192.168.10.1

tcpdump -i eth1 -n proto gre and host 192.168.10.169 -X

13:59:54.052021 IP 192.168.10.169 > 192.168.10.1: GREv1, call 22528, seq 744, length 53: IP 192.168.100.169.1065 > 89.188.101.134.7777: . ack 759 win 16922
0x0000: 4500 0049 6a6a 0000 802f 3a21 c0a8 0aa9 E..Ijj.../:!....
0x0010: c0a8 0a01 3001 880b 0029 5800 0000 02e8 ....0....)X.....
0x0020: 2145 0000 286a 6940 0080 06ab d2c0 a864 !E..(ji@.......d
0x0030: a959 bc65 8604 291e 617f e236 e827 a246 .Y.e..).a..6.'.F
0x0040: d550 1042 1a41 5a00 00 .P.B.AZ..
13:59:54.105921 IP 192.168.10.1 > 192.168.10.169: GREv1, call 49152, ack 744, no-payload, length 12
0x0000: 4500 0020 ce76 4000 402f d63d c0a8 0a01 E....v@.@/.=....
0x0010: c0a8 0aa9 2081 880b 0000 c000 0000 02e8 ................
13:59:54.307449 IP 192.168.10.1 > 192.168.10.169: GREv1, call 49152, seq 689, length 96: IP 89.188.101.134.7777 > 192.168.100.169.1065: P 759:802(43) ack 0 win 64262
0x0000: 4500 0074 ce77 4000 402f d5e8 c0a8 0a01 E..t.w@.@/......
0x0010: c0a8 0aa9 3001 880b 0054 c000 0000 02b1 ....0....T......
0x0020: 2145 0000 5317 0540 0077 0608 0c59 bc65 !E..S..@.w...Y.e
0x0030: 86c0 a864 a91e 6104 2927 a246 d57f e236 ...d..a.)'.F...6
0x0040: e850 18fb 06f0 9900 002b 0083 0d48 6884 .P.......+...Hh.
0x0050: a5b5 ..
13:59:54.449796 IP 192.168.10.169 > 192.168.10.1: GREv1, call 22528, ack 689, no-payload, length 12
0x0000: 4500 0020 6a6c 0000 802f 3a48 c0a8 0aa9 E...jl.../:H....
0x0010: c0a8 0a01 2081 880b 0000 5800 0000 02b1 ..........X.....
0x0020: 0000 0000 0000 0000 0000 0000 0000 ..............
13:59:54.449988 IP 192.168.10.169 > 192.168.10.1: GREv1, call 22528, seq 745, length 53: IP 192.168.100.169.1065 > 89.188.101.134.7777: . ack 802 win 16879
0x0000: 4500 0049 6a6d 0000 802f 3a1e c0a8 0aa9 E..Ijm.../:.....
0x0010: c0a8 0a01 3001 880b 0029 5800 0000 02e9 ....0....)X.....
0x0020: 2145 0000 286a 6b40 0080 06ab d0c0 a864 !E..(jk@.......d
0x0030: a959 bc65 8604 291e 617f e236 e827 a247 .Y.e..).a..6.'.G
0x0040: 0050 1041 ef41 5a00 00 .P.A.AZ..

далее убеждаюсь что 192.168.10.169 висит на радио
root@192.168.10.1:~/bin# arp -n 192.168.10.169
Address HWtype HWaddress Flags Mask Iface
192.168.10.169 ether 00:0F:EA:5C:A1:DD C eth1

смотрю так оно и есть
DES-3526:admin#sh fdb port 7
Command: show fdb port 7

VID VLAN Name MAC Address Port Type
---- ---------------- ----------------- ------ ----------------
1 default 00-01-6C-C8-27-65 7 Dynamic
1 default 00-04-61-48-D6-CD 7 Dynamic
1 default 00-04-61-5F-E5-33 7 Dynamic
1 default 00-04-61-6E-5A-7D 7 Dynamic
1 default 00-0F-EA-5C-A1-DD 7 Dynamic

но из логов ТСПДАМПА вижу что prority 00

почему не отработались правила по повышению приоритета? или где косяка мог упороть ещё? ну ткните носом плиз

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Чт янв 17, 2008 14:47

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Ещё один вопрос. Зачем нулевая User define mask?

Вернуться наверх

snark

Заголовок сообщения:

Добавлено: Чт янв 17, 2008 14:48

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13

romanse писал(а):

create access_profile ip source_ip_mask 255.255.255.0 destination_ip_mask 255.255.255.255 protocol_id_mask 0xFF user_define_mask 0x0 0x0 0x0 0x0 0x0 profile_id 3
config access_profile profile_id 3 add access_id 1 ip source_ip 192.168.10.0 destination_ip 192.168.10.1 protocol_id 47 user_define 0x0 0x0 0x0 0x0 0x0 port 6 permit priority 7 replace_priority

...

но из логов ТСПДАМПА вижу что prority 00

почему не отработались правила по повышению приоритета?

AFAIK, "priority" - это L2 приоритет ... Вы же, надеюсь, не думаете то PPTP вообще и GRE в частности это L2? или думаете? :shock:

подумайте над 2-мя словами "DSCP" и "replace_dscp_with"

_________________
с уважением, БП

Вернуться наверх

romanse

Заголовок сообщения:

Добавлено: Чт янв 17, 2008 15:17

Зарегистрирован: Вт мар 06, 2007 12:22
Сообщений: 94

Цитата:

Ещё один вопрос. Зачем нулевая User define mask?

я её не делал - он сам её добавляет я ввожу

create access_profile ip source_ip_mask 255.255.255.0 destination_ip_mask 255.255.255.255 protocol_id_mask 0xFF profile_id 3
config access_profile profile_id 3 add access_id 1 ip source_ip 192.168.10.0 destination_ip 192.168.10.1 protocol_id 47 port 6 permit priority 7 replace_priority
config access_profile profile_id 3 add access_id 2 ip source_ip 192.168.10.0 destination_ip 192.168.10.1 protocol_id 47 port 7 permit priority 7 replace_priority

create access_profile ip source_ip_mask 255.255.255.255 destination_ip_mask 255.255.255.0 protocol_id_mask 0xFF profile_id 4
config access_profile profile_id 4 add access_id 1 ip source_ip 192.168.10.1 destination_ip 192.168.10.0 protocol_id 47 port 6 permit priority 7 replace_priority
config access_profile profile_id 4 add access_id 2 ip source_ip 192.168.10.1 destination_ip 192.168.10.0 protocol_id 47 port 7 permit priority 7 replace_priority

Вернуться наверх

snark

Заголовок сообщения:

Добавлено: Чт янв 17, 2008 15:54

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13

romanse писал(а):

я её не делал - он сам её добавляет

угу ... есть такое дело ... когда сам первый раз увидел, тоже удивился ... это видать by design

_________________
с уважением, БП

Вернуться наверх

romanse

Заголовок сообщения:

Добавлено: Чт янв 17, 2008 18:56

Зарегистрирован: Вт мар 06, 2007 12:22
Сообщений: 94

ептвою чё я смотрю это езернет кадр нужно смотреть какой там QoS, сори что ввёл всех в заблуждение...

Вернуться наверх

Страница 1 из 1

[ Сообщений: 8 ]

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 16

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения