D-Link • Просмотр темы - 3526 + ARP фильтрация

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

3526 + ARP фильтрация

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 1

[ Сообщений: 12 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

Shkaf

Заголовок сообщения: 3526 + ARP фильтрация

Добавлено: Сб янв 19, 2008 15:46

Зарегистрирован: Пн янв 07, 2008 12:43
Сообщений: 45

недавно добрались ручки до 3526, прошивка 5.01-B09.
3526 стоит в центре небольшой звезды 6 линков, по 50-150 пользователей на линк, каждый линк - свой ИП диапазон.

Настроены фильтры по ИП маскам, и некоторые UDP, TCP порты вырезаны.
192.168.1.0/24 - порт 1
192.168.2.0/24 - порт 2
....

Всё хорошо, но снифер показывает кучу запросов АРП "Who ?" со всеми ип адресами в сети, так понимаю АРП внутри сети всё таки нужен. Как можно чтобы АРП запросы рассылались только по тем портам на которые они должны идти, а не на все порты ?

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Сб янв 19, 2008 18:17

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Покажите Ваши ACL пожалуйста.

Вернуться наверх

KabaH

Заголовок сообщения: Re: 3526 + ARP фильтрация

Добавлено: Сб янв 19, 2008 19:12

Зарегистрирован: Пт фев 23, 2007 00:08
Сообщений: 253

Shkaf писал(а):

... Всё хорошо, но снифер показывает кучу запросов АРП "Who ?" со всеми ип адресами в сети, так понимаю АРП внутри сети всё таки нужен. Как можно чтобы АРП запросы рассылались только по тем портам на которые они должны идти, а не на все порты ?

ARP запросы отправляются _ВСЕГДА_ широковещательно, т.е. на все станции сразу. Если вам это не нравится то придется отказаться от ARP-а совсем зафильтровав ARP на всех портах, и прописав статически на всех станциях МАК адреса всех станций, что есть мега-мега-геморой.

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Вс янв 20, 2008 15:33

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Осталось добавить что в пределах одного VLAN-а. А вообще фильтровать невалидные ARP-ы можно. Но похоже у Вас они валидные.

Вернуться наверх

Shkaf

Заголовок сообщения:

Добавлено: Пн янв 21, 2008 17:44

Зарегистрирован: Пн янв 07, 2008 12:43
Сообщений: 45

в данный момент по ИП трафик фильтруется
create access_profile ip source_ip_mask 255.255.255.0 profile_id 15
config access_profile profile_id 15 add access_id 1 ip source_ip 10.16.59.0 port 19 permit
config access_profile profile_id 15 add access_id 2 ip source_ip 10.16.58.0 port 13 permit

create access_profile ip source_ip_mask 0.0.0.0 profile_id 200
config access_profile profile_id 200 add access_id 3 ip source_ip 0.0.0.0 port 19 deny
config access_profile profile_id 200 add access_id 5 ip source_ip 0.0.0.0 port 13 deny

и так длее по остальным портам...
получается как бы связано ИП адрес и ПОРТ коммутатора, логично было бы и АРПы отправлять на тот же самый порт, а не раскидывать по всем

добавлю, локальная сеть имеет диапазон ИП 10.16.48.0/255.255.240.0

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Пн янв 21, 2008 20:40

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Нет так не получится. Это противоречит логике работы протокола ARP.

Вернуться наверх

terrible

Заголовок сообщения:

Добавлено: Вт янв 22, 2008 14:39

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default

Demin Ivan писал(а):

Нет так не получится. Это противоречит логике работы протокола ARP.

Странно, но у меня такие ACL работают, и работают так как и должны.
fw 5.01b09

Вернуться наверх

snark

Заголовок сообщения:

Добавлено: Вт янв 22, 2008 15:50

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13

terrible писал(а):

Demin Ivan писал(а):

Нет так не получится. Это противоречит логике работы протокола ARP.

Странно, но у меня такие ACL работают, и работают так как и должны.

работают как? привязывают адрес к порту? если да, то речь тут не об этом ... тут о другом - речь о том что так не получится заблокировать ARP ...

_________________
с уважением, БП

Вернуться наверх

terrible

Заголовок сообщения:

Добавлено: Вт янв 22, 2008 17:19

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default

snark писал(а):

Однако мои абоненты говорят мне обратное

Проверьте сами

Вернуться наверх

snark

Заголовок сообщения:

Добавлено: Вт янв 22, 2008 23:19

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13

terrible писал(а):

Однако мои абоненты говорят мне обратное

Проверьте сами

я давно и вроде успешно (снифер молчит) использую ACL вида (фрагмент):

Код:

create access_profile ethernet ethernet_type profile_id 6
config access_profile profile_id 6 add access_id 6 ethernet ethernet_type 0x806 port 6 permit
config access_profile profile_id 6 add access_id 8 ethernet ethernet_type 0x806 port 8 permit
config access_profile profile_id 6 add access_id 10 ethernet ethernet_type 0x806 port 10 permit

create access_profile packet_content_mask offset_0-15 0xffffffff 0xffff0000 0x0 0x0 profile_id 7
config access_profile profile_id 7 add access_id 1 packet_content_mask offset_0-15 0xffffffff 0xffff0000 0x0 0x0 port 1-25 deny

create access_profile ip source_ip_mask 255.255.255.255 profile_id 8
config access_profile profile_id 8 add access_id 6 ip source_ip XXX.YYY.ZZZ.14 port 6 permit
config access_profile profile_id 8 add access_id 8 ip source_ip XXX.YYY.ZZZ.53 port 8 permit
config access_profile profile_id 8 add access_id 10 ip source_ip XXX.YYY.ZZZ.7 port 10 permit

create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 9
config access_profile profile_id 9 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-25 deny

т.е. привязываю и ARP и IP к порту ... после удаления (когда же наконец сделают enable/disable) никакие пакеты через ACL не проходят и соответственно в свич не попадют ...

_________________
с уважением, БП

Вернуться наверх

Shkaf

Заголовок сообщения:

Добавлено: Сб фев 16, 2008 01:09

Зарегистрирован: Пн янв 07, 2008 12:43
Сообщений: 45

Вообщем уже разобрал практически на "ТЫ" ACL правила на 3526

Есть такой впорос хочу вырезать АРПы пример:

create access_profile packet_content_mask offset_16-31 0xffff0000 0x0 0x0 0x0 profile_id 4
config access_profile profile_id 4 add access_id 1 packet_content_mask offset_16-31 0x08060000 0x0 0x0 0x0 port 15 deny

смотрю снифером вижу фигу, перестаю видеть др. компы (как бы это логично), но при этом на меня все арпы как шли, так и идут ??? как можно закрыть поток АРПов идущих на меня ? Такое чувство, что правило действуют только на входящий поток на порт с компа.

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Сб фев 16, 2008 11:57

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

ACL фильтруют только входящий трафик. В этом случае надо фильтровать на портах других клиентов или на uplink порту.

Вернуться наверх

Страница 1 из 1

[ Сообщений: 12 ]

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 186

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения