1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Вс авг 24, 2025 11:40

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 2 из 2
  [ Сообщений: 28 ]  На страницу Пред.  1, 2
  Предыдущая тема | Следующая тема 
Автор Сообщение
lioncub
 Заголовок сообщения:
СообщениеДобавлено: Вс мар 30, 2008 19:07 
Не в сети

Зарегистрирован: Чт ноя 15, 2007 07:50
Сообщений: 373
Daniil-B мне бы чтоб конфликта адресов не было, чтоб arp только с этого порта один шел....
Вернуться наверх
 Профиль  
 
Daniil-B
 Заголовок сообщения:
СообщениеДобавлено: Вс мар 30, 2008 19:17 
Не в сети

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"
Тогда добавим ACL
Код:
# Разрешаем arp пакеты с адреса 192.168.1.3
#--------------------------------------
create access_profile packet_content offset_16-31 0x0 0x0 0x0 0xffffffff profile_id 10
config access_profile profile_id 10 add access_id 1 packet_content offset 28 0xc0a80103 port 1 permit

# Запрещаем  arp пакеты с любых адресов
#-------------------------------
create access_profile packet_content offset_16-31 0x0 0x0 0x0 0x01000000 profile_id 11
config access_profile profile_id 11 add access_id 1 packet_content offset 28 0x00000000 port 1 deny
Вернуться наверх
 Профиль  
 
lioncub
 Заголовок сообщения:
СообщениеДобавлено: Вс мар 30, 2008 20:04 
Не в сети

Зарегистрирован: Чт ноя 15, 2007 07:50
Сообщений: 373
А где можно прочитать по подробнее про packet_content, а то не совсем понятно, что такое offset_16-31 0x0 0x0 0x0 0xffffffff, и offset 28 0xc0a80103.
Буду очень благодарен за ссылочки или/и если не сложно на пальцах объясни пожалуйста эти значения....

зы кажись кое в чем разобрался...
profile_id 10:
offset_16-31 0x0 0x0 0x0 - это часть не понятна, 0xffffffff - маска в шеснадцатиричном виде
offset 28 - это часть не понятна, 0xc0a80103 - ip в шеснадцатиричном виде
profile_id 11:
offset_16-31 0x0 0x0 0x0 - ? 0x01000000 - почему не 0x00000000
offset 28 - ? 0x00000000 - тут все понятно
Вернуться наверх
 Профиль  
 
Daniil-B
 Заголовок сообщения:
СообщениеДобавлено: Вс мар 30, 2008 21:25 
Не в сети

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"
lioncub писал(а):
зы кажись кое в чем разобрался...
profile_id 10:
offset_16-31 0x0 0x0 0x0 - это часть не понятна, 0xffffffff - маска в шеснадцатиричном виде

Байты в пакете с 16 по 31 разбиты на четыре группы по четыре байта.
В данном случае первые три группы не учавствуют в сравнении, а только четвёртая, где и прописана маска.
Цитата:
offset 28 - это часть не понятна,

В данном коммутаторе - стартовый байт откуда начинается сравнение
Цитата:
0xc0a80103 - ip в шеснадцатиричном виде

Непосредственно сам адрес - 192.168.1.3
Цитата:
profile_id 11:
offset_16-31 0x0 0x0 0x0 - ? 0x01000000 - почему не 0x00000000

Потому что он не даст прописать маску со всеми нулями.
В данном случае эта маска перекрывает адреса с 1.0.0.0 - 255.255.255.255
Цитата:
offset 28 - ? 0x00000000 - тут все понятно

Ну и хорошо..


В данном коммутаторе при написании правил на базе packet_content следует помнить, что если VID на порту имеет статус untagged, то пакет имеет обычный вид - без смещения.
Если VID на порту имеет статус tagged? то пакет в коммутаторе получает смещение на четыре байта с 12 по 15.

Также следует помнить, что если правило обьединяет порты с 1 по 28 - это расценивается, как одно правило.
А если правило обьединяет любое другое количество портов отличное от full, то оно расходует количество правил, равное количеству портов, обьединённых в этом правиле.

Например, правило, закрывающее 135 tcp/udp порт на тегированных портах коммутатора:
Код:
config access_profile profile_id 3 add access_id auto_assign packet_content offset 40 0x00870000 port 1-28 deny

Расходует одно правило, а
Код:
config access_profile profile_id 3 add access_id auto_assign packet_content offset 40 0x00870000 port 1-24 deny

расходует 24 правила.

Максимальное количество правил для данной модели 256.

Это особенности данной модели.
Вернуться наверх
 Профиль  
 
lioncub
 Заголовок сообщения:
СообщениеДобавлено: Вт апр 29, 2008 10:06 
Не в сети

Зарегистрирован: Чт ноя 15, 2007 07:50
Сообщений: 373
При такой настройке у меня конфликтов нет, но есть на клиентских портах.... Как сделать чтобы и они не видили конфликта?
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Вт апр 29, 2008 21:17 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Вы имеете ввиду между собой?
Вернуться наверх
 Профиль  
 
lioncub
 Заголовок сообщения:
СообщениеДобавлено: Ср апр 30, 2008 15:00 
Не в сети

Зарегистрирован: Чт ноя 15, 2007 07:50
Сообщений: 373
# Разрешаем arp пакеты с адреса 192.168.1.3
#--------------------------------------
create access_profile packet_content offset_16-31 0x0 0x0 0x0 0xffffffff profile_id 10
config access_profile profile_id 10 add access_id 1 packet_content offset 28 0xc0a80103 port 1 permit
# Запрещаем arp пакеты с любых адресов
#-------------------------------
create access_profile packet_content offset_16-31 0x0 0x0 0x0 0x01000000 profile_id 11
config access_profile profile_id 11 add access_id 1 packet_content offset 28 0x00000000 port 1 deny

При такой настройке если на 28 порту сервер с ip 192.168.1.2
и на первом такойже клиент, то конфликт возникает у клиента и блокируется доступ. Что собственно правльно, но можно ли сделать чтобы у клиента не возникало конфликта, только блокировка!
Вернуться наверх
 Профиль  
 
Daniil-B
 Заголовок сообщения:
СообщениеДобавлено: Ср апр 30, 2008 20:40 
Не в сети

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"
Добавить тоже самое, только для IP пакетов.
Можно на базе packet_content :
Код:
# Разрешаем ip пакеты с адреса 192.168.1.3
#--------------------------------------
create access_profile packet_content offset_16-31 0x0 0x0 0x0000ffff 0xffff0000 profile_id 10
config access_profile profile_id 10 add access_id 1 packet_content offset 26 0x0000c0a8 offset 28 0x01030000 port 1 permit

# Запрещаем ip пакеты с любых адресов
#-------------------------------
create access_profile packet_content offset_16-31 0x0 0x0 0x00000100 0x01000000 profile_id 11
config access_profile profile_id 11 add access_id 1 packet_content offset 26 0x00000000 offset 28 0x00000000 port 1 deny

По поводу масок в запрещающем правиле не уверен, надо проверять.

А можно проще... :
Код:
create access_profile ip source_ip 255.255.255.255 profile_id 10
config access_profile profile_id 10 add access_id 1 ip source_ip 192.168.1.3 port 1 permit

create access_profile ip source_ip 0.0.0.0 profile_id 11
config access_profile profile_id 11 add access_id 1 ip source_ip 0.0.0.0 port 1 deny


А можно не углубляться в packet_content, а выполнить сочетание:
Код:
enable address_binding trap_log
create address_binding ip_mac ipaddress 192.168.1.3 mac_address 00-11-11-11-11-11 ports 1
config address_binding ip_mac ports 1 state enable strict allow_zeroip enable

create access_profile ip source_ip 255.255.255.255 profile_id 10
config access_profile profile_id 10 add access_id 1 ip source_ip 192.168.1.3 port 1 permit

create access_profile ip source_ip 0.0.0.0 profile_id 11
config access_profile profile_id 11 add access_id 1 ip source_ip 0.0.0.0 port 1 deny
Вернуться наверх
 Профиль  
 
lioncub
 Заголовок сообщения:
СообщениеДобавлено: Пн май 05, 2008 10:23 
Не в сети

Зарегистрирован: Чт ноя 15, 2007 07:50
Сообщений: 373
Вот правильная настройка, чтобы не было конфликтов!!

# Разрешаем arp пакеты с адреса 192.168.1.3
#--------------------------------------
Код:
create access_profile packet_content offset_16-31 0x0 0x0 0x0 0xffffffff profile_id 10
config access_profile profile_id 10 add access_id 1 packet_content offset 28 0xc0a80103 port 1 permit


# Запрещаем arp пакеты с любых адресов
#-------------------------------
Код:
create access_profile packet_content offset_16-31 0x0 0x0 0x0 0x01000000 profile_id 11
config access_profile profile_id 11 add access_id 1 packet_content offset 28 0x01000000 port 1 deny



Выше не верно, насчет запрещающего правила!
Вернуться наверх
 Профиль  
 
Daniil-B
 Заголовок сообщения:
СообщениеДобавлено: Пн май 05, 2008 10:35 
Не в сети

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"
Выше, это где?
Вернуться наверх
 Профиль  
 
lioncub
 Заголовок сообщения:
СообщениеДобавлено: Пн май 05, 2008 13:35 
Не в сети

Зарегистрирован: Чт ноя 15, 2007 07:50
Сообщений: 373
Фигня получилось c запрещающим!
Для внутренних адресов надо:
Код:
create access_profile  packet_content  offset_16-31  0x0 0x0 0x0 0x01000000  profile_id 10
config access_profile profile_id 10  add access_id auto_assign  packet_content  offset 28 0x00000000  port 1-28 deny

а для внешних:
Код:
config access_profile profile_id 10  add access_id auto_assign  packet_content  offset 28 0x01000000  port 1-28 deny


Для начала, делал разрешающие на тот порт где серваки (28)!
Код:
create access_profile  packet_content  offset_16-31  0x0 0x0 0x0 0x01000000  profile_id 1
config access_profile profile_id 1  add access_id auto_assign  packet_content  offset 28 0x00000000  port 28 permit
config access_profile profile_id 1  add access_id auto_assign  packet_content  offset 28 0x01000000  port 28 permit
Вернуться наверх
 Профиль  
 
lioncub
 Заголовок сообщения:
СообщениеДобавлено: Сб июн 07, 2008 08:11 
Не в сети

Зарегистрирован: Чт ноя 15, 2007 07:50
Сообщений: 373
Цитата:
Выше, это где?

Код:
create access_profile packet_content offset_16-31 0x0 0x0 0x00000100 0x01000000 profile_id 11
config access_profile profile_id 11 add access_id 1 packet_content offset 26 0x00000000 offset 28 0x00000000 port 1 deny


Ругается:
Код:
Two field is overlap in a rule(differ of two offsets should > 3)!
Fail!
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Сб июн 07, 2008 22:08 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
У Вас два offset-а перекрывают друг друга.
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 2 из 2
  [ Сообщений: 28 ]  На страницу Пред.  1, 2

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 37

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB