D-Link • Просмотр темы - Куплю ACL правило

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Куплю ACL правило

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 2

[ Сообщений: 25 ]

На страницу 1, 2 След.

Предыдущая тема | Следующая тема

Автор

Сообщение

Akor

Заголовок сообщения: Куплю ACL правило

Добавлено: Вт дек 23, 2008 11:16

Зарегистрирован: Вс окт 21, 2007 22:09
Сообщений: 74
Откуда: Владимир

Куплю ACL правило которые:
1. разрешает ходить с порта №Х на интрнет шлюз IP=192.168.0.200
2. разрешает ходить с порта №Х на интрнет шлюз MAC=00-11-2f-d0-c0-5a
3. разрешает слать ARP запрос на получение DHCP
4. разрешает принимать DHCP
5. запрещает все остальное из остальной сети

Вернуться наверх

mikevlz

Заголовок сообщения:

Добавлено: Вт дек 23, 2008 13:39

Зарегистрирован: Чт мар 16, 2006 19:57
Сообщений: 129
Откуда: Волжский

create vlan XXX tag YYY ?
DHCP-запрос релеить на сервер свичом доступа.
остальное резать на выходе с vlan

Вернуться наверх

kasat

Заголовок сообщения: Re: Куплю ACL правило

Добавлено: Вт дек 23, 2008 14:05

Зарегистрирован: Вс мар 11, 2007 02:47
Сообщений: 34

Akor писал(а):

скажу тебе по секрету, на основную - главную часть твоего вопроса ты себе сам ответил, ты уже составил себе блок схему, раз сам составил значит и подправить сможешь, береш мануал и вместо своих слов свичу вбиваешь команды

Вернуться наверх

Akor

Заголовок сообщения:

Добавлено: Вт дек 23, 2008 15:14

Зарегистрирован: Вс окт 21, 2007 22:09
Сообщений: 74
Откуда: Владимир

Вот мануала то по ACL найти не могу.

Вернуться наверх

toxicom

Заголовок сообщения:

Добавлено: Вт дек 23, 2008 16:22

Зарегистрирован: Пт сен 14, 2007 16:14
Сообщений: 174
Откуда: Kharkiv

топаешь на ftp://dlink.ru/pub/Switch/DES-3526_3526DC/Description/ берешь файлик в названии которого есть CLI и читаешь раздел Access control list. И еще, ACL работают _только_на_входящий_ в порт траффик.

Вернуться наверх

Alexandr Zaitsev

Заголовок сообщения:

Добавлено: Вт дек 23, 2008 16:38

Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow

Вот как-то так:

Код:

create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF profile_id 1
config access_profile profile_id 1 add access_id 1 ethernet destination_mac FF-FF-FF-FF-FF-FF port 2 permit 
config access_profile profile_id 1 add access_id 2 ethernet destination_mac 00-11-2f-d0-c0-5a port 2 permit 

create access_profile ethernet destination_mac 00-00-00-00-00-00 profile_id 3   
config access_profile profile_id 3 add access_id 1 ethernet destination_mac 00-00-00-00-00-00 port 2 deny

Только если DHCP сервер не является шлюзом, то еще надо и на его МАК разрешающее правило добавить

Вернуться наверх

Akor

Заголовок сообщения:

Добавлено: Вт дек 23, 2008 16:55

Зарегистрирован: Вс окт 21, 2007 22:09
Сообщений: 74
Откуда: Владимир

Я так делал. Не фильтрует ничего.

Вернуться наверх

terrible

Заголовок сообщения:

Добавлено: Вт дек 23, 2008 16:57

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default

Приведите ваши ACL, укажите порты, к которым подключен DHCP сервер и клиенты

Вернуться наверх

Akor

Заголовок сообщения:

Добавлено: Вт дек 23, 2008 16:58

Зарегистрирован: Вс окт 21, 2007 22:09
Сообщений: 74
Откуда: Владимир

create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF profile_id 101
config access_profile profile_id 101 add access_id 1 ethernet destination_mac FF-FF-FF-FF-FF-FF port 2 permit
config access_profile profile_id 101 add access_id 2 ethernet destination_mac 00-11-2f-d0-c0-5a port 2 permit

create access_profile ethernet destination_mac 00-00-00-00-00-00 profile_id 102
config access_profile profile_id 102 add access_id 1 ethernet destination_mac 00-00-00-00-00-00 port 2 deny

Вернуться наверх

terrible

Заголовок сообщения:

Добавлено: Вт дек 23, 2008 16:58

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default

укажите порты, к которым подключен DHCP сервер и клиенты

Вернуться наверх

Akor

Заголовок сообщения:

Добавлено: Вт дек 23, 2008 17:00

Зарегистрирован: Вс окт 21, 2007 22:09
Сообщений: 74
Откуда: Владимир

DHCP, он же шлюз к 25 через 5 таких же DES-3526.
Клиенты к медным портам. К 26 еще несколько таких же свитчей.

Вернуться наверх

Akor

Заголовок сообщения:

Добавлено: Вт дек 23, 2008 17:06

Зарегистрирован: Вс окт 21, 2007 22:09
Сообщений: 74
Откуда: Владимир

вот из конфига
# ACL

create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF profile_id 101
config access_profile profile_id 101 add access_id 1 ethernet destination_mac FF-FF-FF-FF-FF-FF port 2 permit
config access_profile profile_id 101 add access_id 2 ethernet destination_mac 00-11-2F-D0-C0-5A port 2 permit

create access_profile ethernet destination_mac 00-00-00-00-00-00 profile_id 103
config access_profile profile_id 103 add access_id 1 ethernet destination_mac 00-00-00-00-00-00 port 2 deny

disable cpu_interface_filtering

# SNTP

disable sntp
config time_zone operator - hour 6 min 0
config sntp primary 0.0.0.0 secondary 0.0.0.0 poll-interval 720
config dst disable

# IPBIND
config address_binding ip_mac ports 1,3-5,7-11,13-22 state enable
enable address_binding acl_mode
enable address_binding trap_log
disable address_binding dhcp_snoop
create address_binding ip_mac ipaddress 192.168.0.31 mac_address 00-16-17-F1-1C-DE ports 2 mode acl
create address_binding ip_mac ipaddress 192.168.0.62 mac_address 00-04-61-99-25-95 ports 3 mode acl
create address_binding ip_mac ipaddress 192.168.0.69 mac_address 00-E0-4C-D3-25-5C ports 4 mode acl
create address_binding ip_mac ipaddress 192.168.0.73 mac_address 4C-00-10-A2-88-C1 ports 9 mode acl
create address_binding ip_mac ipaddress 192.168.0.74 mac_address 00-03-0D-43-0F-0F ports 1-26 mode acl
create address_binding ip_mac ipaddress 192.168.0.76 mac_address 4C-00-10-74-5F-54 ports 14 mode acl
create address_binding ip_mac ipaddress 192.168.0.84 mac_address 00-1A-6B-91-1C-1E ports 2 mode acl
create address_binding ip_mac ipaddress 192.168.0.85 mac_address 00-80-48-49-96-6F ports 6 mode acl
create address_binding ip_mac ipaddress 192.168.0.91 mac_address 4C-00-10-A2-73-80 ports 1 mode acl
create address_binding ip_mac ipaddress 192.168.0.98 mac_address 00-1A-92-50-1D-4E ports 10 mode acl
create address_binding ip_mac ipaddress 192.168.0.135 mac_address 00-13-02-15-32-D5 ports 2 mode acl
create address_binding ip_mac ipaddress 192.168.0.163 mac_address 00-19-DB-F7-25-2A ports 11 mode acl
create address_binding ip_mac ipaddress 192.168.0.166 mac_address 00-13-77-4A-69-96 ports 4 mode acl
create address_binding ip_mac ipaddress 192.168.0.168 mac_address 00-80-48-19-31-F7 ports 5 mode acl
create address_binding ip_mac ipaddress 192.168.0.172 mac_address 00-19-B9-50-CF-1D ports 6 mode acl
create address_binding ip_mac ipaddress 192.168.0.178 mac_address 00-1E-EC-1E-C2-5C ports 13 mode acl
create address_binding ip_mac ipaddress 192.168.0.200 mac_address 00-11-2F-D0-C0-5A ports 21 mode acl
create address_binding ip_mac ipaddress 192.168.0.215 mac_address 00-22-15-61-5A-55 ports 3 mode acl
create address_binding ip_mac ipaddress 192.168.0.243 mac_address 00-16-D4-4E-C5-96 ports 5 mode acl
create address_binding ip_mac ipaddress 192.168.0.244 mac_address 00-0F-EA-5F-54-06 ports 16 mode acl
create address_binding ip_mac ipaddress 192.168.2.11 mac_address 00-21-91-20-FD-5D ports 8 mode acl
create address_binding ip_mac ipaddress 192.168.3.14 mac_address 00-1E-58-9D-98-19 ports 16 mode acl
create address_binding ip_mac ipaddress 192.168.3.15 mac_address 00-0F-EA-5F-54-06 ports 16 mode acl
create address_binding ip_mac ipaddress 192.168.3.17 mac_address 00-21-91-20-FD-5D ports 8 mode acl
create address_binding ip_mac ipaddress 192.168.3.18 mac_address 00-1E-58-B1-C1-54 ports 8 mode acl
create address_binding ip_mac ipaddress 192.168.100.20 mac_address 00-16-EC-2B-A9-DE ports 7 mode acl
config address_binding dhcp_snoop max_entry ports 1-26 limit 5

# FILTER
config filter dhcp_server ports 1-24 state enable

Вернуться наверх

terrible

Заголовок сообщения: Re: Куплю ACL правило

Добавлено: Вт дек 23, 2008 17:09

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default

Akor писал(а):

Куплю ACL правило которые:
1. разрешает ходить с порта №Х на интрнет шлюз IP=192.168.0.200
2. разрешает ходить с порта №Х на интрнет шлюз MAC=00-11-2f-d0-c0-5a

Это значит, что пакеты от клиента смогут иметь Destination IP только адрес шлюза, а как они инет то будут получать? запросы на тот-же яндекс будут иметь Destination IP отличный, от 192.168.0.200

Косяки:
config address_binding ip_mac ports 1,3-5,7-11,13-22 state enable
create address_binding ip_mac ipaddress 192.168.0.31 mac_address 00-16-17-F1-1C-DE ports 2 mode acl
create address_binding ip_mac ipaddress 192.168.0.85 mac_address 00-80-48-49-96-6F ports 6 mode acl

Вернуться наверх

Akor

Заголовок сообщения:

Добавлено: Вт дек 23, 2008 17:25

Зарегистрирован: Вс окт 21, 2007 22:09
Сообщений: 74
Откуда: Владимир

И в чем косяки? В том что прописал mac-ip bindeing на 2,8,16 и потом отключил их проверку за ненадобностью?

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Вт дек 23, 2008 18:36

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

2 Akor > 3 и 4 пункты можно решить с помощью IMPB, в остальном, Вам нужно определить что Вы конкретно хотите блокировать. Тогда я смогу Вам помочь с созданием ACL правил.

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

Страница 1 из 2

[ Сообщений: 25 ]

На страницу 1, 2 След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 40

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения