D-Link • Просмотр темы - ACL 3028 c прошивкой 2.10-B02

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

ACL 3028 c прошивкой 2.10-B02

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 1

[ Сообщений: 7 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

balixin

Заголовок сообщения: ACL 3028 c прошивкой 2.10-B02

Добавлено: Вт дек 16, 2008 20:54

Зарегистрирован: Вт дек 09, 2008 11:02
Сообщений: 110

Подскажите как правильно прописать правило на packet_content
Для исключения IP конфликта. Например 192.168.1.109
config access_profile profile_id 3 add access_id 1 packet_content_mask offset_32-47 0xc0a802d6 0x0 0x0 0x0 port 2 deny
Не получается

Вернуться наверх

Daniil-B

Заголовок сообщения:

Добавлено: Вт дек 16, 2008 21:13

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"

Порт тегированный или нет ?
Судя по написанию правила, блокируется IP адрес в arp пакете для тегированного порта.
и листинг неверный.
должно быть

Код:

config access_profile profile_id 3 add access_id auto_assign packet_content offset 32 0xc0a802d6 port 2 deny

Да, и ты пишешь адрес 192.168.1.109,
а в правило вписан 192.168.2.214

Вернуться наверх

balixin

Заголовок сообщения:

Добавлено: Ср дек 17, 2008 10:34

Зарегистрирован: Вт дек 09, 2008 11:02
Сообщений: 110

да спасибо
Немного опечатался
И порт не тегированный

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Ср дек 17, 2008 10:59

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

Для untagget трафика можно использовать следующие ACL, в том случае, если IP шлюза: x.x.x.1:
create access_profile packet_content_mask offset_0-15 0x0 0x0 0x0 0xFFFF0000 offset_16-31 0x0 0xffff0000 0x0 0xFF profile_id 1
config access_profile profile_id 1 add access_id 1 packet_content offset 12 0x8060000 offset 20 0x20000 offset 28 0x1 port 25-28 permit
config access_profile profile_id 1 add access_id 5 packet_content offset 12 0x8060000 offset 20 0x10000 offset 28 0x1 port 25-28 permit
config access_profile profile_id 1 add access_id 9 packet_content offset 12 0x8060000 offset 20 0x20000 offset 28 0x1 port 1-28 deny
config access_profile profile_id 1 add access_id 10 packet_content offset 12 0x8060000 offset 20 0x10000 offset 28 0x1 port 1-28 deny

Но есть одна проблема из-за приоритизации, которая не позволяет полноценно защититься. Она будет предварительно исправлена 26 декабря 2008г.

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

Daniil-B

Заголовок сообщения:

Добавлено: Ср дек 17, 2008 11:43

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"

Руслан, не покатит ...
при нормальном раскладе на порты 25-28 приходят тагом клиентские вланы и управляющие ....
так что тут придётся выкаблучиваться интереснее ..

Вернуться наверх

balixin

Заголовок сообщения:

Добавлено: Ср дек 17, 2008 16:00

Зарегистрирован: Вт дек 09, 2008 11:02
Сообщений: 110

Bigarov Ruslan писал(а):

При таком раскладе конфликт все равно возникает

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Ср дек 17, 2008 18:09

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

2 Daniil-B > Для данного случая согласен, нужно будет создать отдельный профиль для uplink-овых портов с учётом смещения из-за тега 802.1q

2 balixin > Я же писал, что пока проблема есть, но работы по её исправлению уже ведуться.

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

Страница 1 из 1

[ Сообщений: 7 ]

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 16

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения