1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Пт июл 18, 2025 10:23

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 4 из 5
  [ Сообщений: 66 ]  На страницу Пред.  1, 2, 3, 4, 5  След.
  Предыдущая тема | Следующая тема 
Автор Сообщение
snark
 Заголовок сообщения:
СообщениеДобавлено: Ср мар 25, 2009 22:48 
Не в сети

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13
Swingstar писал(а):
Правила не помогли, проблема периодически возникает как и с предыдущими правилами.

раз они у Вас не работают, тогда может приведете ACL которые _сейчас_ есть на свиче в тот момент когда правила не срабатывают? только тег code не забывайте ;)

Swingstar писал(а):
Скажите, почему так? Почему с линуксом такой проблемы нет, а с 3526 есть?

свич от линуха в режиме моста с ebtables отличается тем что кол-во трафика его не грузит ;)

_________________
с уважением, БП
Вернуться наверх
 Профиль  
 
Swingstar
 Заголовок сообщения:
СообщениеДобавлено: Вс мар 29, 2009 20:31 
Не в сети

Зарегистрирован: Сб ноя 15, 2008 22:06
Сообщений: 40
snark писал(а):
Swingstar писал(а):
Правила не помогли, проблема периодически возникает как и с предыдущими правилами.

раз они у Вас не работают, тогда может приведете ACL которые _сейчас_ есть на свиче в тот момент когда правила не срабатывают? только тег code не забывайте ;)


Код:
create access_profile                                        ip tcp dst_port_mask 0xffff profile_id 1
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port         135 port 1-26 deny
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port         137 port 1-26 deny
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port         138 port 1-26 deny
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port         139 port 1-26 deny
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port         445 port 1-26 deny
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port        2869 port 1-26 deny

create access_profile                                        ip udp dst_port_mask 0xffff profile_id 2
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port         135 port 1-26 deny
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port         137 port 1-26 deny
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port         138 port 1-26 deny
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port         139 port 1-26 deny
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port         445 port 1-26 deny
config access_profile profile_id 2 add access_id auto_assign ip udp dst_port        1900 port 1-26 deny
Вернуться наверх
 Профиль  
 
Bigarov Ruslan
 Заголовок сообщения:
СообщениеДобавлено: Пн мар 30, 2009 12:06 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
2 Swingstar > ACL правильные и SMB трафик они блокируют, но в описании проблемы и следующих постах я не вижу никакой информации о том, что Вы проверялипо каким портам обращаются к серверу, какая загрузка CPU, хватает ли ресурсов оперативной памяти и swap-а, какими процессами загружен сервер, что появляются задержки в ответах. Что касаемо DES-3526, то я не увидил информации по загрузке CPU коммутатора, и если Вы используете механизм в ACL что незапрещено, то разрешено, то нужно учитывать и эту особенность.

_________________
С уважением,
Бигаров Руслан.
Вернуться наверх
 Профиль  
 
snark
 Заголовок сообщения:
СообщениеДобавлено: Пн мар 30, 2009 14:42 
Не в сети

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13
Swingstar писал(а):
опять стоит 3526 с теми же правилами на нетбиос + закрытым мультикастом, ip-broadcast и вкл. штормом.

к приведенным выше ACL добавьте:
Код:
# для ARP бродкаст нужен
create access_profile                                        ethernet ethernet_type       profile_id 3
config access_profile profile_id 3 add access_id auto_assign ethernet ethernet_type 0x806 port  1-26 permit

# а потом его можно и нужно запретить :)
create access_profile                                        ethernet destination_mac ff-ff-ff-ff-ff-ff profile_id 4
config access_profile profile_id 3 add access_id auto_assign ethernet destination_mac ff-ff-ff-ff-ff-ff port 1-26 deny


Swingstar писал(а):
create access_profile ip destination_ip 240.0.0.0 profile_id 40
config access_profile profile_id 40 add access_id 1 ip destination_ip 224.0.0.0 port 1-26 deny

так Вы мультикаст точно не закрыли ;) его надо закрывать как нить так:
Код:
config igmp_snooping querier all state enable
config igmp_snooping all state enable
enable igmp_snooping

config router_ports_forbidden <имя VLAN> add <список клиентских портов>

config multicast port_filtering_mode <список клиентских портов> filter_unregistered_groups

create multicast_range mcast from 224.0.0.0 to 239.255.255.255
config limited_multicast_addr ports <список клиентских портов> add multicast_range mcast
config limited_multicast_addr ports <список клиентских портов> access deny state enable

а Ваше правило ACL для мультикаста ничего не сделает ;)

_________________
с уважением, БП
Вернуться наверх
 Профиль  
 
Daniil-B
 Заголовок сообщения:
СообщениеДобавлено: Пн мар 30, 2009 17:48 
Не в сети

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"
snark,
может показаться странным, но оно работает ..

Но правильнее твой вариант ...

Человек в этом не шибко разбирается, и я его не сильно грузил настройкой мультикаста.
Вернуться наверх
 Профиль  
 
HotatDog
 Заголовок сообщения:
СообщениеДобавлено: Чт апр 02, 2009 21:47 
Не в сети

Зарегистрирован: Ср мар 25, 2009 19:35
Сообщений: 16
Народ подскажите как сделать cpu filtering на DES-3026
Возможноли закрыть порты виндовые етим способом в инете не нашел путнего мана
Вернуться наверх
 Профиль  
 
Daniil-B
 Заголовок сообщения:
СообщениеДобавлено: Пт апр 03, 2009 07:27 
Не в сети

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"
на DES-3026 ты ничего не закроешь ...

и cpu filtering не поможет.
Вернуться наверх
 Профиль  
 
Swingstar
 Заголовок сообщения:
СообщениеДобавлено: Сб апр 11, 2009 20:09 
Не в сети

Зарегистрирован: Сб ноя 15, 2008 22:06
Сообщений: 40
Ни к чему эти правила не приводят! Связь так и рвется. Ставлю камп с линуксом - все работает. "Нич-ч-чего не понимаю" (с)
Вернуться наверх
 Профиль  
 
Daniil-B
 Заголовок сообщения:
СообщениеДобавлено: Сб апр 11, 2009 23:35 
Не в сети

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"
Я тебе уже говорил, запусти снифер и мониторь, что у тебя на порт валит.
Вернуться наверх
 Профиль  
 
HotatDog
 Заголовок сообщения:
СообщениеДобавлено: Пн апр 13, 2009 11:12 
Не в сети

Зарегистрирован: Ср мар 25, 2009 19:35
Сообщений: 16
У меня задача состоит в том чтобы клиенты могли конектиться только к определенному VPN серверу, а если человек конектиться к другому его банить
определять нужно по ip
пример моего кода
Код:
create access_profile ip destination_ip_mask 255.255.255.255 tcp dst_port_mask 0xFFFF profile_id 1
#разрешаем доступ на наш сервер
config access_profile profile_id 1 add access_id 1 ip destination_ip 10.0.0.254 tcp dst_port 1723  port 1-50 permit
#запрешаем все остальное
create access_profile ip destination_ip_mask 255.255.255.255 tcp dst_port_mask 0xFFFF profile_id 2
config access_profile profile_id 2 add access_id 1 ip destination_ip 0.0.0.0 tcp dst_port 1723  port 1-50 deny


В чем трабла подскажите весь тернет обыскал фиг
Вернуться наверх
 Профиль  
 
snark
 Заголовок сообщения:
СообщениеДобавлено: Пн апр 13, 2009 12:01 
Не в сети

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13
HotatDog писал(а):
В чем трабла подскажите

в маске ... сделайте так:
Код:
# разрешаем доступ на сервер
create access_profile                              ip destination_ip_mask 255.255.255.255 tcp dst_port_mask 0xFFFF profile_id 1
config access_profile profile_id 1 add access_id 1 ip destination_ip      10.0.0.254      tcp dst_port        1723  port 1-50 permit

# запрешаем все остальное
create access_profile                              ip destination_ip_mask 0.0.0.0 tcp dst_port_mask 0xFFFF profile_id 2
config access_profile profile_id 2 add access_id 1 ip destination_ip      0.0.0.0 tcp dst_port        1723  port 1-50 deny

_________________
с уважением, БП
Вернуться наверх
 Профиль  
 
HotatDog
 Заголовок сообщения:
СообщениеДобавлено: Пн апр 13, 2009 13:59 
Не в сети

Зарегистрирован: Ср мар 25, 2009 19:35
Сообщений: 16
Спасибо большое!!!:))

Я уже сам допер в последнию минуту перед окончанием рабочего дня весь день убил на это:(
Вернуться наверх
 Профиль  
 
kasat
 Заголовок сообщения:
СообщениеДобавлено: Чт окт 08, 2009 10:43 
Не в сети

Зарегистрирован: Вс мар 11, 2007 02:47
Сообщений: 34
Добрый день ув. сотрудники длинка
имеем 3526, включаю на нем:
1. enable dhcp_local_relay -включилось
2. config filter dhcp_server - тоже
3. Command: config filter extensive_netbios 1-24 state enable

Warning ! The switch does not have enough access profiles.
Fail!

Command: show access_profile
.......
ACL Free: System : 603, Port 1-8 : 154, Port 9-16 : 144, Port 17-24: 149
Port 25 : 78 , Port 26 : 78
Total Access Entries : 197
Вернуться наверх
 Профиль  
 
snark
 Заголовок сообщения:
СообщениеДобавлено: Чт окт 08, 2009 10:58 
Не в сети

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13
kasat писал(а):
The switch does not have enough access profiles.

в поиск!

_________________
с уважением, БП
Вернуться наверх
 Профиль  
 
Bigarov Ruslan
 Заголовок сообщения:
СообщениеДобавлено: Чт окт 08, 2009 11:47 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
2 kasat > Поскольку данный функционал базируется на стандартных ACL и судя по сообщениям Вы использовали все доступные профили и для использования данной функции Вам одного и не хватает.

_________________
С уважением,
Бигаров Руслан.
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 4 из 5
  [ Сообщений: 66 ]  На страницу Пред.  1, 2, 3, 4, 5  След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 137

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB