1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Пн июл 21, 2025 16:55

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Эта тема закрыта, Вы не можете редактировать и оставлять сообщения в ней.  Страница 6 из 12
  [ Сообщений: 171 ]  На страницу Пред.  1 ... 3, 4, 5, 6, 7, 8, 9 ... 12  След.
  Предыдущая тема | Следующая тема 
Автор Сообщение
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Пн ноя 10, 2008 19:30 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Я Вам прошивку выслал.
Вернуться наверх
 Профиль  
 
Dyr
 Заголовок сообщения:
СообщениеДобавлено: Пн ноя 10, 2008 19:36 
Не в сети

Зарегистрирован: Пн сен 18, 2006 11:17
Сообщений: 270
Откуда: SPb
Dima G. писал(а):
У вас очень старая прошивка, заводская. Но даже с ней CPU ACL не будет отрабатывать такие пакеты.

Правила-то нормально составлены, должна была бы отрабатывать?
Цитата:

Попросите новую прошивку, там увидете packet_content_mask на ACL для портов.

[Вздыхая] Чёрт подери, ну длинк, а...когда же уже такие ключевые моменты будут отражены в соответсвующих доках/новостях/форумах? Из-за таких вот совершенно неочевидных косяков и портится всё желание работать на вашем оборудовании.
Цитата:

p.s.У меня все ARP запросы от провайдера, кроме предназначенных для моих устройств, блокируются. И настроено это именно в обычных ACL. Все работает, проверено сниффером. :)

Дык понятно, что так раньше всё и работало =) Но под рукой просто пока только 3028 и 3200.

Ivan, будьте любезны, пришлите правильную прошивку на denissia@mail.ru. Заранее благодарствую.
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Пн ноя 10, 2008 19:38 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Я Вам прошивку выслал. По той самой причине что мы информацию о бетах даже очень стабильных не можем официально представлять.
Вернуться наверх
 Профиль  
 
Dima G.
 Заголовок сообщения:
СообщениеДобавлено: Пн ноя 10, 2008 19:48 
Не в сети

Зарегистрирован: Пн сен 27, 2004 12:16
Сообщений: 1978
Откуда: Москва
Dyr писал(а):
Dima G. писал(а):
У вас очень старая прошивка, заводская. Но даже с ней CPU ACL не будет отрабатывать такие пакеты.

Правила-то нормально составлены, должна была бы отрабатывать?

Сорри, бегло смотрел на них, т.к. не вижу смысла вглядываться, раз сделаны они на CPU ACL. :wink:

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)
Вернуться наверх
 Профиль  
 
Dyr
 Заголовок сообщения:
СообщениеДобавлено: Пн ноя 10, 2008 20:40 
Не в сети

Зарегистрирован: Пн сен 18, 2006 11:17
Сообщений: 270
Откуда: SPb
Спасибо за прошивку.

Теперь всем отделом просим ещё подкинуть той же травы, что курили разработчики синтаксиса ACL с неким "offset_chunk". Один отсчёт в некоем столбце chunk_1, идущим как "126 127 0 1" выбил из нашего круга двух программеров. :lol:

P.S. ACL через cpu access_profile так и не заработал.
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Пн ноя 10, 2008 21:08 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
А и не должен был. Offset_chunk это смещения от начала пакета.
Вернуться наверх
 Профиль  
 
Dima G.
 Заголовок сообщения:
СообщениеДобавлено: Пн ноя 10, 2008 21:21 
Не в сети

Зарегистрирован: Пн сен 27, 2004 12:16
Сообщений: 1978
Откуда: Москва
Demin Ivan писал(а):
А и не должен был. Offset_chunk это смещения от начала пакета.

Это пояснение к фразе?
Цитата:
ACL через cpu access_profile так и не заработал.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Пн ноя 10, 2008 21:23 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Именно.
Вернуться наверх
 Профиль  
 
Dima G.
 Заголовок сообщения:
СообщениеДобавлено: Пн ноя 10, 2008 22:46 
Не в сети

Зарегистрирован: Пн сен 27, 2004 12:16
Сообщений: 1978
Откуда: Москва
Demin Ivan писал(а):
Именно.

А что, cpu access_profile при указании offset_chunk использует иные смещения?
Разве зависимость в offset'ах определяет, где создавать правило - простой ACL или ACL на CPU? Я всегда думал, что правила создаются в зависимости от того, какой трафик надо фильтровать, - идущий непосредственно на CPU свитча или идущий между портами...
Или это вообще 2 несвязанных между собой уточнения, а именно:
1) что правило ACL CPU не заработает на ARP между портами
2) разъяснение, что такое chunk
? :))

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)
Вернуться наверх
 Профиль  
 
Dyr
 Заголовок сообщения:
СообщениеДобавлено: Пн ноя 10, 2008 23:18 
Не в сети

Зарегистрирован: Пн сен 18, 2006 11:17
Сообщений: 270
Откуда: SPb
Demin Ivan писал(а):
А и не должен был. Offset_chunk это смещения от начала пакета.

Нет, не заработал при "классической" настройке cpu access_profile через обычный offset_xx_xx (offset_chunk, к слову, только в обычном access_profile).
Через час разобрались, что имелось в виду под offset_chunk, от души ещё раз порадовались качественной траве заграничных товарищей. :) Хорошо, дока нашлась с dlink.com, в котором был пример с ARP.
Личное замечание, очень неудачно выбрано совпадение синтаксиса office_chunk_x в маске и office_chunk_x в правиле - оно и сбило с толку.

Но в целом ещё раз спасибо за прошивку и помощь!
Вернуться наверх
 Профиль  
 
Dyr
 Заголовок сообщения:
СообщениеДобавлено: Пн ноя 10, 2008 23:22 
Не в сети

Зарегистрирован: Пн сен 18, 2006 11:17
Сообщений: 270
Откуда: SPb
Dima G. писал(а):
2) разъяснение, что такое chunk
? :))

Chunk было бы наиболее корректно описать как ссылка/линк на 4 байта.
То есть chunk_X = смещение от начала пакета * 4X

Вроде так.
Вернуться наверх
 Профиль  
 
Dima G.
 Заголовок сообщения:
СообщениеДобавлено: Пн ноя 10, 2008 23:29 
Не в сети

Зарегистрирован: Пн сен 27, 2004 12:16
Сообщений: 1978
Откуда: Москва
Dyr писал(а):
Dima G. писал(а):
2) разъяснение, что такое chunk
? :))

Chunk было бы наиболее корректно описать как ссылка/линк на 4 байта.
То есть chunk_X = смещение от начала пакета * 4X

Вроде так.

Ну да в случае 3200-10. Раньше ДЛинк обозначал именно смещение в байтах. А теперь придумали нумерованную группу и приходится каждый раз в табличку лезть и смотреть, что за группа. Если бы еще первая группа начиналась с первого байта, то проще было. А тут на одно правило столько математики приходится :D

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)
Вернуться наверх
 Профиль  
 
Dyr
 Заголовок сообщения:
СообщениеДобавлено: Вт ноя 11, 2008 12:24 
Не в сети

Зарегистрирован: Пн сен 18, 2006 11:17
Сообщений: 270
Откуда: SPb
Странно, но ACL не удаётся добавить, при попытке добавления правила, разрешающего ARP-пакеты, содержащие IP и MAC клиента, пишет "The specified packet content is not supported". Самое интересное, что это происходит только когда добавляешь с offset_chunk_3, если его не указывать, всё добавляется нормально.
Пример: Пытаемся добавить ACL для разрешения ARP ("806") с Sender IP 1.1.1.1 и MAC 00:01:02:03:04:05 на порту 2:
Код:
#Создаём задающуюю маску-правило
DGS-3200-10:4#create access_profile packet_content_mask offset_chunk_1 3 0x0000FFFF offset_chunk_2 6 0xFFFFFFFF offset_chunk_3 7 0xFFFFFFFF offset_chunk_4 8 0xFFFF0000 profile_id 1
Command: create access_profile packet_content_mask offset_chunk_1 3 0xFFFF offset_chunk_2 6 0xFFFFFFFF offset_chunk_3 7 0xFFFFFFFF offset_chunk_4 8 0xFFFF0000 profile_id 1

Success.

DGS-3200-10:4#show access_profile
Command: show access_profile

Access Profile Table

Total Unused Rule Entries:200
Total Used Rule Entries  :0


Access Profile ID: 1                                      Type : Packet Content
================================================================================
Owner       : ACL
MASK Option :
offset_chunk_1 : 3      value : 0x0000FFFF
offset_chunk_2 : 6      value : 0xFFFFFFFF
offset_chunk_3 : 7      value : 0xFFFFFFFF
offset_chunk_4 : 8      value : 0xFFFF0000

================================================================================
Unused Entries: 200


DGS-3200-10:4#
#Пытаемся добавить соответствующее правило:
DGS-3200-10:4#config access_profile profile_id 1 add access_id auto_assign packet_content offset_chunk_1 0x0000806 offset_chunk_2 0x00010203 offset_chunk_3 0x04050101 offset_chunk_4 0x01010000 port 2 permit
Command: config access_profile profile_id 1 add access_id auto_assign packet_content offset_chunk_1 0x806 offset_chunk_2 0x10203 offset_chunk_3 0x4050101 offset_chunk_4 0x1010000 port 2 permit

 The specified packet content is not supported.

Fail!
DGS-3200-10:4#
#Демонстрируем, как замечательно добавляются правила, если не указывать offset_chunk_3:
DGS-3200-10:4#config access_profile profile_id 1 add access_id auto_assign packe
t_content offset_chunk_1 0x806 offset_chunk_2 0x10203 offset_chunk_4 0x1010000 p
ort 2 permit
Command: config access_profile profile_id 1 add access_id auto_assign packet_content offset_chunk_1 0x806 offset_chunk_2 0x10203 offset_chunk_4 0x1010000 port 2 permit

Success.

DGS-3200-10:4#config access_profile profile_id 1 add access_id auto_assign packet_content offset_chunk_3 0x4050101 port 2 permit
Command: config access_profile profile_id 1 add access_id auto_assign packet_content offset_chunk_3 0x4050101 port 2 permit

 The specified packet content is not supported.

Fail!

DGS-3200-10:4#



В конфиге появился интересный кусок, значит ли это, что в прошивке появился dhcp_snooping?

Код:
# ADDRBIND
config address_binding dhcp_snoop max_entry ports 1 limit 5
config address_binding dhcp_snoop max_entry ports 2 limit 5
config address_binding dhcp_snoop max_entry ports 3 limit 5
config address_binding dhcp_snoop max_entry ports 4 limit 5
config address_binding dhcp_snoop max_entry ports 5 limit 5
config address_binding dhcp_snoop max_entry ports 6 limit 5
config address_binding dhcp_snoop max_entry ports 7 limit 5
config address_binding dhcp_snoop max_entry ports 8 limit 5
config address_binding dhcp_snoop max_entry ports 9 limit 5
config address_binding dhcp_snoop max_entry ports 10 limit 5
config address_binding ip_mac ports 1-10 allow_zeroip enable
config address_binding ip_mac ports 1-10 forward_dhcppkt enable
disable address_binding dhcp_snoop
Вернуться наверх
 Профиль  
 
Dyr
 Заголовок сообщения:
СообщениеДобавлено: Вт ноя 11, 2008 13:19 
Не в сети

Зарегистрирован: Пн сен 18, 2006 11:17
Сообщений: 270
Откуда: SPb
Чушь какая-то творится...
Сбросил конфиг, забил заново, попробовал ещё раз залить правила. Не заливаются с той же причиной. Однако начало заливаться правило с отдельным offset_chunk_3:
Код:
DGS-3200-10:4#config access_profile profile_id 1 add access_id auto_assign packe
t_content offset_chunk_3 0x4050101 port 2 permit
Command: config access_profile profile_id 1 add access_id auto_assign packet_content offset_chunk_3 0x4050101 port 2 permit

Success.
Вернуться наверх
 Профиль  
 
Alexandr Zaitsev
 Заголовок сообщения:
СообщениеДобавлено: Чт ноя 13, 2008 14:41 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow
Dyr
Ага, вижу. Запросил штаб-квартиру, как только будет ответ я Вам напишу.
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Эта тема закрыта, Вы не можете редактировать и оставлять сообщения в ней.  Страница 6 из 12
  [ Сообщений: 171 ]  На страницу Пред.  1 ... 3, 4, 5, 6, 7, 8, 9 ... 12  След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 31

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB