Здравствуйте. Нужно написать каркас правил для DES-3526, чтобы они разрешали прохождение любых типов пакетов (ipv4, arp, pppoe) на основе связки ip + mac + port. Как это сделать использовав минимальное число профилей ACL?

IP-MAC-Port Binding ACL-mode нереал юзать?

нереал. если юзать это, то вышележащие акл правила не работают. по крайней мере так раньше было.

кстати, IMB будет блокировать pppoe трафик?

объясню, как вам нужно действовать:

создаёте ваши, разрешающие ACL, даёте им номера 1,2,3 и т.д., но (!!!) с 1 (первого) и по порядку, без пропусков.

АЦЛ настроили, всё ок.

Далее, включаете IMB в режим ACL и заполняете таблицу биндинга.
В этом случае, ACL биндинга будет следующим профилем после ваших.
допустим вы создали 5 профилей, профиль IMB будет шестым.

Т.е. ваши работать будут, IMB работать будет.

По поводу PPPoE - точно не знаю, но по идее должен блочить, если это ранее не разрешить предыдущей ACL.

Это все ясно в мануалах расписано, но на форуме тысячи рас писалось, что так не работает (viewtopic.php?t=66811&highlight=). Жаль не могу поэкспериментировать на боевом оборудовании.

Про пппое мне очень интересно. по крайней мере простой бан по любому ип в акл его не берет, т.к. он иерархией ниже, рядом с езернетом (если верить вики), что настораживает. Неужели для каждого типа пакета (ип, арп, пппое) надо писать свой пермит фильтр?

зачем?

ну во первых схема, которую я предложил работает 100%, проверяли уже, и не раз.

во вторых, ПППоЕ работает по ethernet, для этого достаточно написатьть правило, эзернетовское, которое бы разрешало широковещалку пппое, далее будет работать биндинг на пакеты, которые под это правило не попали.
1 профиль, 1-2 правила на 24 порта, итого: 24+24+1=49 строчек в конфиге, помойму терпимо

З.Ы. ссылка куда-то не туда ведёт, там о другом тема

// профиль всем ходить на сайт
create access_profile ip destination_ip_mask 255.255.255.255 tcp dst_port_mask 0xFFFF profile_id 10
config access_profile profile_id 10 add access_id 1 ip destination_ip 192.168.0.10 tcp dst_port 80 port 2 permit
//включаем IMB
config address_binding ip_mac ports 2 state enable strict allow_zeroip enable
enable address_binding acl_mode

добавляем пользователей в процессе работы
create address_binding ip_mac ipaddress 192.168.0.7 mac_address 00-03-25-05-5F-F3 ports 2 mode acl
и удаляем их для блокировки доступа
delete address_binding ip_mac ipaddress 192.168.0.7 mac_address 00-03-25-05-5F-F3

Вопросов три. Правильно ли все расписал. Прорвется ли от не авторизованных юзеров арп пакет. И смогут ли не привязанные по IMB пользователи соединиться по pppoe с серваком. Стоит такой для раздачи инета.

profile_id укажите 1
в этом случае IMB будет занимать второй профиль, первый будет работать

логика профилей
1) разрешение доступа куда положено
2) imb acl
3) запрещение доступа для определенных src ip

в случае после правильной проверки на imb acl (профиль 2) пакет пойдет дальше на профиль 3 или уйдет с коммутатора?

ACL работают до первого совпадения.

_________________
LiveComm

Для справки, ACL IPMB имеют больший приоритет нежели ACL, если используются IMPB и ACL, то входящий пакет сначала проверяется ACL-ками IMPB, а потом стандартными ACL до первого совпадения.

_________________
С уважением,
Бигаров Руслан.

Т.е. пакет после проверки ACL-IMPB в случае валидности в любом случае уйдет на проверку на другие ACL и там уже будут обрабатываться в порядке приоритета (1,2,3,4,5 и т.д.)

И соотвественно номер profile_id для ACL-IMPB не имеет никакого значения? Так?

Да.

_________________
С уважением,
Бигаров Руслан.

А в случае НЕ валидности он сразу же будет отброшен? Ну вот, что я и говорил, а мне тут обратное доказывали)

А скажите пожалуйста, у меня с этим туговато, какие нужно правила ACL, чтобы разрешить абсолютно любой траф, но чтобы в каждом правиле учитывалось ip отправляющего, мак отправляющего и порт, с которого пришел пакет.

И хватит ли дени правила езернет с маской мак адреса 00-00 или ff-ff (не помню уже, т.е. блокирование любого мака) чтобы заблокировать pppoe трафик? По крайней мере он по иерархии ниже IP и правилом, запрещающим любой ип пакет, не режется.

Это нужно реализовывать через PCF.



PPPoE трафик можно запретить либо по Ethernet Type полю, либо разрешить нужный трафик, а последним правилом, например: Ethernet Src MAC mask 00-00-00-00-00-00 запретить всё остальное.

_________________
С уважением,
Бигаров Руслан.