D-Link • Просмотр темы

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

DES-3028 ACL

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 2

[ Сообщений: 28 ]

На страницу 1, 2 След.

Предыдущая тема | Следующая тема

Автор

Сообщение

lioncub

Заголовок сообщения: DES-3028 ACL

Добавлено: Ср фев 18, 2009 18:18

Зарегистрирован: Чт ноя 15, 2007 07:50
Сообщений: 373

сорри, не въезжаю... (устал наверное)
FW 2.10.B02

Код:

# ACL
create access_profile  ip  source_ip 255.255.255.0   destination_ip 255.255.255.0    profile_id 1
config access_profile profile_id 1  add access_id 1  ip  source_ip 192.168.8.0     destination_ip 192.168.8.0      port 1-28 permit rx_rate no_limit
create access_profile  ip  destination_ip 255.255.0.0      profile_id 2
config access_profile profile_id 2  add access_id 1  ip  destination_ip 192.168.0.0      port 1-28 deny

на 11 порту 192.168.8.2 на 28 порту 192.168.8.1

не пингуются между собой...
вроде 1 профиль разрешает прохождение трфика сети 192.168.8.0
а второй запрещает все на 192.168.0.0
дожно же проходиться по порядку...
почему не проходит?

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Ср фев 18, 2009 18:22

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Версия прошивки?

Вернуться наверх

lioncub

Заголовок сообщения:

Добавлено: Чт фев 19, 2009 07:47

Зарегистрирован: Чт ноя 15, 2007 07:50
Сообщений: 373

FW 2.10.B02
при выше правилах 8.1 не пингует 8.2
хотя 8.2 пингует 8.1... и любой другой из 8.0/24
удаляю 2 профиль, все отлично...

еще

Код:

create access_profile  ip  destination_ip 255.255.255.255  profile_id 70
config access_profile profile_id 70  add access_id 1  ip  destination_ip 192.168.8.1      port 1-28 permit rx_rate no_limit
create access_profile  ip  source_ip 255.255.255.255 destination_ip 255.255.255.0    profile_id 75
config access_profile profile_id 75  add access_id 1  ip  source_ip 192.168.8.1     destination_ip 192.168.8.0      port 1-28 permit rx_rate no_limit
create access_profile  ip  destination_ip 255.255.0.0      profile_id 102
config access_profile profile_id 102  add access_id 1  ip  destination_ip 192.168.0.0      port 1-28 deny

ситуация таже, но только уже без всей сети 8.0 в этом случае только 8.2 пингует 8.1 хотя по правилам вроде и 8.1 должен видеть 8.2

выше в двух примерах шлюз у 8.2 - 8.1 дальше шлюза ничего соответсвенно не видет...

еще все правила принудительно работают со скоростями... как этого избежать.... надо разрешить все на 25-28 портах (без указания скорости).... дальше идут запрещающие правила... а дальше разрешающие, но уже со скоростями и для определенного ip! такая конструкция для экономии правил...!

Вернуться наверх

lioncub

Заголовок сообщения:

Добавлено: Пт фев 20, 2009 13:52

Зарегистрирован: Чт ноя 15, 2007 07:50
Сообщений: 373

какие-нибудь комментарии будут?

Вернуться наверх

Alexandr Zaitsev

Заголовок сообщения:

Добавлено: Пт фев 20, 2009 14:35

Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow

Выслал Вам последнюю прошивку, на ней я не смог поймать этой неисправности.

Вернуться наверх

Alexandr Zaitsev

Заголовок сообщения:

Добавлено: Пт фев 20, 2009 14:39

Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow

Цитата:

еще все правила принудительно работают со скоростями... как этого избежать.... надо разрешить все на 25-28 портах (без указания скорости).... дальше идут запрещающие правила... а дальше разрешающие, но уже со скоростями и для определенного ip! такая конструкция для экономии правил...!

Не понимаю, приведите пример.

Вернуться наверх

lioncub

Заголовок сообщения:

Добавлено: Сб фев 21, 2009 21:16

Зарегистрирован: Чт ноя 15, 2007 07:50
Сообщений: 373

1. Пример, 1 порт 192.168.8.3, 28 порт 25 192.168.8.1 он же шлюз:

Код:

create access_profile  ip  source_ip 0.0.0.0 profile_id 1
config access_profile profile_id 1  add access_id 1  ip  source_ip 0.0.0.0  port 25-28 permit rx_rate no_limit 
create access_profile  ip  destination_ip 255.255.0.0      profile_id 2
config access_profile profile_id 2  add access_id 1  ip  destination_ip 192.168.0.0 port 1-28 deny
create access_profile  ip  source_ip 255.255.255.255  profile_id 3
config access_profile profile_id 3  add access_id 1  ip  source_ip 192.168.8.3 port 1 permit rx_rate 128 
create access_profile  ip  destination_ip 255.255.255.255  profile_id 4
config access_profile profile_id 4  add access_id 1  ip  destination_ip 192.168.8.3 port 25 permit rx_rate 128 
create access_profile  ip  source_ip 0.0.0.0  profile_id 5
config access_profile profile_id 5  add access_id 1  ip  source_ip 0.0.0.0   port 1-28 deny

т.е. нужно разрешить все перемещения у 25-28 порта, но также нужно ограничить скорость входящего трафика в 4 профиле. Но поскольку 1 профиль заменяет 4, то и скорость ограничиваться не будет...
Примерно так. Думаю, что делают все остальные будет понятно.

2. По поводу ограничения скорости в ACL. Для корректного шейпирования нужно включить Flow Control на портах, или это бесполезно если его нет на другой стороне?

3. Покажите на примере, как заблокировать ip определенного VLAN, насколько помню, что в ACL IP такого функционала нет, то на примере Packet Content. И будет ли это правило дейставовать на untagged и tagged этого VLAN?

Вернуться наверх

lioncub

Заголовок сообщения:

Добавлено: Вт фев 24, 2009 13:48

Зарегистрирован: Чт ноя 15, 2007 07:50
Сообщений: 373

???
может что-то не понятно? могу более подробно...

Вернуться наверх

Alexandr Zaitsev

Заголовок сообщения:

Добавлено: Ср фев 25, 2009 16:55

Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow

1. Поменяйте местами 1-й и 4-й профили
2. Бесполезно если не поддерживается на другой стороне
3. Для тегированного трафика, в вилане 100 запрещаем пакеты с компьютера 192.168.0.20

Код:

create access_profile packet_content_mask offset_0-15 0x0 0x0 0x0 0xFFFF offset_16-31 0x0 0x0 0x0 0xFFFF offset_32-47 0xFFFF0000 0x0 0x0 0x0 profile_id 1

config access_profile profile_id 1 add access_id 1 packet_content offset 12 0x64 offset 28 0xC0A8 offset 32 0x140000 port <portlist> deny

Вернуться наверх

lioncub

Заголовок сообщения:

Добавлено: Чт фев 26, 2009 13:03

Зарегистрирован: Чт ноя 15, 2007 07:50
Сообщений: 373

2. Т.е. на этой модели корректного шейпирования не добиться?

3.Спасибо.

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Чт фев 26, 2009 14:32

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

2. Вопрос в том нужно Вам ограничивать Rx и Tx rate или только Rx. Если первое, то нужно и на uplinke создавать соответствующие правила для ограничения Rx rate.

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

lioncub

Заголовок сообщения:

Добавлено: Чт фев 26, 2009 15:18

Зарегистрирован: Чт ноя 15, 2007 07:50
Сообщений: 373

Нужно ограничивать и rx и tx. Ну или rx для двух портов

Цитата:

create access_profile ip source_ip 255.255.255.255 profile_id 3
config access_profile profile_id 3 add access_id 1 ip source_ip 192.168.8.3 port 1 permit rx_rate 128
create access_profile ip destination_ip 255.255.255.255 profile_id 4
config access_profile profile_id 4 add access_id 1 ip destination_ip 192.168.8.3 port 25 permit rx_rate 128

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Чт фев 26, 2009 15:48

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

Да, для входящего и uplink-а, а что есть какие-то проблемы с данной конфигурацией?

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

lioncub

Заголовок сообщения:

Добавлено: Пн мар 23, 2009 17:01

Зарегистрирован: Чт ноя 15, 2007 07:50
Сообщений: 373

конено есть, сорри за задержку (с больничного)
провел тестирование на сайте speedtest.net до (Novosibirsk)
тестировал по нескольку раз:
speed in out
128 122 114
256 157 154
512 372 326
1024 832 792
2048 1658 1500
5120 2120 1936
10240 2100 2264
правила вида:

Код:

create access_profile ip source_ip 255.255.255.255 profile_id 3
config access_profile profile_id 3 add access_id 1 ip source_ip 192.168.8.3 port 1 permit rx_rate 128
create access_profile ip destination_ip 255.255.255.255 profile_id 4
config access_profile profile_id 4 add access_id 1 ip destination_ip 192.168.8.3 port all permit rx_rate 128 

реальная скорость без правил:
in out
26890 53400

видно, что чем выше скорость тем больше разница! на маленьких вроде все ok!
стоит ли расчитывать на нормальный шейпинг?

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Вт мар 24, 2009 03:21

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Шейпинг в железе невозможен. И нужно подбирать значения полисера под реалии сети. Ведь у Вас же TCP трафик. Если попробуете UDP у Вас всё будет нормально.

Вернуться наверх

Страница 1 из 2

[ Сообщений: 28 ]

На страницу 1, 2 След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 92

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения