D-Link • Просмотр темы - количество профилей и IMPB ACL

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

количество профилей и IMPB ACL

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 2

[ Сообщений: 21 ]

На страницу 1, 2 След.

Предыдущая тема | Следующая тема

Автор

Сообщение

SerjVarshavskiy

Заголовок сообщения: количество профилей и IMPB ACL

Добавлено: Чт авг 07, 2008 17:08

Зарегистрирован: Пт июн 06, 2008 09:51
Сообщений: 95

не могу понять причину:

DES-3526:admin#enable address_binding acl_mode
Command: enable address_binding acl_mode

Warning ! The switch does not have enough access profiles.
Enalbe IPBIND & ACL state Fail.

Fail!

всего задействовано 10 профилей,
ACL Free: System : 516, Port 1-8 : 112, Port 9-16 : 112, Port 17-24: 112
Port 25 : 90 , Port 26 : 90
Total Access Entries : 284

биндить пробую 1н порт:
create address_binding ip_mac ipaddress x.x.x.x mac_address x.x.x ports n mode acl^
config address_binding ip_mac ports n state enable strict^
enable address_binding acl_mode^

DES-3526:admin#show address_binding ip_mac
Command: show address_binding ip_mac

ACL_mode : Disabled
Trap/Log : Disabled
Enabled ports : 18
Enabled ports (Loose) :
Enabled allow_zeroip ports :
Enabled forward_DHCPpkt ports: 1-26

IP Address MAC Address Ports Mode
--------------- ----------------- ------------------------------ ----
10.10.17.2 00-x0-xx-xx-xx-xx 4 ACL

что может быть (прошит 5.01-B36)?

Вернуться наверх

svsh1990

Заголовок сообщения:

Добавлено: Чт авг 07, 2008 20:21

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль

дык больше профилей нельзя создавать.

_________________
LiveComm

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Чт авг 07, 2008 21:48

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Правильно. У Вас исчерпан лимит по профилям а не по правилам.

Вернуться наверх

SerjVarshavskiy

Заголовок сообщения:

Добавлено: Пт авг 08, 2008 13:18

Зарегистрирован: Пт июн 06, 2008 09:51
Сообщений: 95

эх (
жестко как

планируется ли увеличение кол-ва профилей?
все розовые мечты рухнули из-за малого числа (9и) профилей
такая красивая шелезяка и такая досада, практически ничего не пофильтруешь...

спасибо

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Пт авг 08, 2008 16:11

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Нет в этой сери это невозможно. Хотя экономя профили и используя Packet Content filtering можно уложиться. Посмотрите в сторону DES-3028/3052. В этой серии 256 профилей.

Вернуться наверх

snark

Заголовок сообщения:

Добавлено: Сб авг 09, 2008 12:59

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13

SerjVarshavskiy писал(а):

практически ничего не пофильтруешь

а Вы покажите что Вы вообще фильтруете, может получится скомпоновать?
смотрите сами - правила:

Код:

create access_profile                                        ip tcp dst_port_mask 0xffff profile_id 1
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port         135 port 1-24 deny
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port         137 port 1-24 deny
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port         138 port 1-24 deny
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port         139 port 1-24 deny
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port         445 port 1-24 deny
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port        2869 port 1-24 deny

create access_profile                                        ip udp dst_port_mask 0xffff profile_id 2
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port         135 port 1-24 deny
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port         137 port 1-24 deny
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port         138 port 1-24 deny
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port         139 port 1-24 deny
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port         445 port 1-24 deny
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port        1900 port 1-24 deny

Код:

create access_profile                                        packet_content_mask offset_16-31 0xffff0000 0x0 0x0 0x0 offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 1
config access_profile profile_id 1 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x0 0x0 offset_32-47 0x0 0x0 0x00870000 0x0 port 1-24 deny
config access_profile profile_id 1 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x0 0x0 offset_32-47 0x0 0x0 0x00890000 0x0 port 1-24 deny
config access_profile profile_id 1 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x0 0x0 offset_32-47 0x0 0x0 0x008a0000 0x0 port 1-24 deny
config access_profile profile_id 1 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x0 0x0 offset_32-47 0x0 0x0 0x008b0000 0x0 port 1-24 deny
config access_profile profile_id 1 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x0 0x0 offset_32-47 0x0 0x0 0x01bd0000 0x0 port 1-24 deny

create access_profile                                        packet_content_mask offset_16-31 0xffff0000 0x0 0x000000ff 0x0 offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 2
config access_profile profile_id 2 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000011 0x0 offset_32-47 0x0 0x0 0x076c0000 0x0 port 1-24 deny
config access_profile profile_id 2 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000006 0x0 offset_32-47 0x0 0x0 0x0b350000 0x0 port 1-24 deny

делают одно и то же, а занимают меньше access id-ов ...

_________________
с уважением, БП

Вернуться наверх

SerjVarshavskiy

Заголовок сообщения:

Добавлено: Сб авг 09, 2008 16:48

Зарегистрирован: Пт июн 06, 2008 09:51
Сообщений: 95

snark, спасибо!

немного ещё абстрагировал и закрыл без разбора по протоколу порты, думаю ничего страшного, профили нужно экономить...

перечитал подобные темы, где люди просят увеличить профилей в 3526, ответы техподдержки категорически отрицательные

просьба всё таки понадоедать китайцам по этой серии, самая ходовая и все ждут с нетерпением увеличения кол-ва профилей...
может в новых железках (если уж привязано к чипсету) хотя бы... думаю многие согласятся на такой компромис...
не вечно же грядущим поколениям мучиться с абстрагированием правил и ущемлением своих нужд в фильтрации..

Вернуться наверх

snark

Заголовок сообщения:

Добавлено: Сб авг 09, 2008 17:49

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13

SerjVarshavskiy писал(а):

немного ещё абстрагировал и закрыл без разбора по протоколу порты

собсно выше, в 1-м PCM профиле так и сделано, т.е. протокол IP + номера портов без учета протоколов ...

SerjVarshavskiy писал(а):

перечитал подобные темы, где люди просят увеличить профилей в 3526, ответы техподдержки категорически отрицательные

unreal ... ограничение не софтового, а железного характера ... асик больше не вытянет, а ложить фильтрацию на проц - это смерть свичу ...

_________________
с уважением, БП

Вернуться наверх

SerjVarshavskiy

Заголовок сообщения:

Добавлено: Вс авг 10, 2008 10:41

Зарегистрирован: Пт июн 06, 2008 09:51
Сообщений: 95

snark писал(а):

немного не про это, пусть железо заменят, чип всегда можно усовершенствовать...
т.е. в этом чипе/ПО функционал очень привлекательный, то ставить новые с урезанным в чем-либо функционалом в используемых 3526 никто не будет(только из-за большего кол-ва профилей в др шелезяках), а вот доделать существующие...

логически эта линейка уйдёт в небытиё, на фоне новых линеек именно из-за кол-ва профилей, жесткие ограничения в практически самом используемом функционале -
это капитальный тормоз в этой ветке, конкуренты не дремлют...

т.к. скорее всего новые линейки доделают до уровня 3526
но это ИМХО

нам как потребителям нужно четко позиционировать наши потребности, а не ставить точку в нужде, мол нельзя...
сами ведь с IT индустрии, практически всегда можно найти выход, вот
и нужно нам скоординироваться, что бы китайские коллеги начали его искать ...

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Вс авг 10, 2008 21:42

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Так есть же уже серия. DES-3028/3052. Присмотритесь пожалуйста к ней в этом случае.

Вернуться наверх

SerjVarshavskiy

Заголовок сообщения:

Добавлено: Пн авг 11, 2008 09:14

Зарегистрирован: Пт июн 06, 2008 09:51
Сообщений: 95

Demin Ivan писал(а):

Так есть же уже серия. DES-3028/3052. Присмотритесь пожалуйста к ней в этом случае.

спасибо, посмотрю

Вернуться наверх

replicant

Заголовок сообщения:

Добавлено: Вт ноя 11, 2008 21:49

Зарегистрирован: Пт июн 27, 2008 14:54
Сообщений: 122

SerjVarshavskiy писал(а):

Demin Ivan писал(а):

Так есть же уже серия. DES-3028/3052. Присмотритесь пожалуйста к ней в этом случае.

спасибо, посмотрю

В 3052 ограничение в 5 правил на порт в сумме по всем профилям, а это еще хуже чем в 3526, там хоть есть простор для создания правил.

Вернуться наверх

snark

Заголовок сообщения:

Добавлено: Вт ноя 11, 2008 22:02

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13

replicant писал(а):

это общая болячка многопортовых свичей - в 3550 так же ограничено кол-во ACL

что делает установку 2-х 3526 более предпочтительным решением, нежели 1-го 3550

_________________
с уважением, БП

Вернуться наверх

replicant

Заголовок сообщения:

Добавлено: Вт ноя 11, 2008 22:19

Зарегистрирован: Пт июн 27, 2008 14:54
Сообщений: 122

snark писал(а):

replicant писал(а):

это общая болячка многопортовых свичей - в 3550 так же ограничено кол-во ACL

что делает установку 2-х 3526 более предпочтительным решением, нежели 1-го 3550

В 3550 мне вполне хватает правил для всех задач блокировки даже не экономя, а вот в 3052 настоящее зло. Никак не могу уложиться.

К тому же там (в 3052) еще какие-то особенности самой железки, что делает блокировку нетривиальной задачей. До сих пор не могу въехать что к чему.

Вернуться наверх

Daniil-B

Заголовок сообщения:

Добавлено: Вт ноя 11, 2008 22:22

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"

Если на 3028/3052 грамотно писать правила, можно напихать значительно больше чем на 3526

Вернуться наверх

Страница 1 из 2

[ Сообщений: 21 ]

На страницу 1, 2 След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: Majestic-12 [Bot] и гости: 94

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения