D-Link • Просмотр темы - 3526 - помогите составить немного ACL

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

3526 - помогите составить немного ACL

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 2 из 2

[ Сообщений: 27 ]

На страницу Пред. 1, 2

Предыдущая тема | Следующая тема

Автор

Сообщение

Demin Ivan

Заголовок сообщения:

Добавлено: Вт июн 23, 2009 21:29

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Тоже верно в этой серии есть такое ограничение. Но повторюсь что PCF это тип правил которые нужно использовать на access. Как вариант можете один профиль использовать на DGS-32XX а второй на DGS-36XX.

Вернуться наверх

spruce

Заголовок сообщения:

Добавлено: Вт июн 23, 2009 22:15

Зарегистрирован: Чт апр 12, 2007 20:10
Сообщений: 141
Откуда: Московская область

Как Вы писали, что планируются к выходу коммутаторы DES-3200-10: а с ними как делаю будут обстоять в плане ACL, не известно еще?

И второй момент - ведь когда мы указываем в правиле порт, например 9, то если будет передаваться пакет из порта 10 в порт 9, удовлетворяющий условию правила, то он будет фильтроваться или нет?

А кроме того я спрашивал, cpu access_profile будет срабатывать если пакет ориентирован непосредственно коммутатору? Т.е. если он, например шлюз, или имеет IP интерфейс?

PS: Просто проблема ARP Spoffing`а реально решается с помощью ACL, как на des3828 и des3526, но к сожелению нельзя установить данное оборудование на многие места из габаритов, как я уже говорил много раз...

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Вт июн 23, 2009 22:22

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Механизм будет такой же как и в DES-3028/3052 только правил будет 512.

Не не будет ACL действуют только на входящий трафик.

Будет если пакет пойдёт непосредственно на интерфейс. Но при маршрутизации это только первый пакет. Остальные уже просто коммутируются в соответствии с IPFDB.

Вернуться наверх

spruce

Заголовок сообщения:

Добавлено: Ср июн 24, 2009 14:07

Зарегистрирован: Чт апр 12, 2007 20:10
Сообщений: 141
Откуда: Московская область

Спасибо.

Если у нас на свитче порт access(влан выведен антегом), то Ethernet пакет мы рассматриваем как есть? А если порт trunk, то мы учитываем еще смещение 4 байта, правильно? О котором говориться в статье http://dlink.ru/ru/faq/62/240.html в первом примере прям..

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Ср июн 24, 2009 21:28

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Именно так.

Вернуться наверх

snark

Заголовок сообщения:

Добавлено: Чт июн 25, 2009 15:25

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13

не совсем так

"именно так"(с) - это для 30хх, в 3526 пакет всегда тегирован, т.е. в нем всегда надо учитывать смещение, а в 30хх - только если порт тегирован ...

_________________
с уважением, БП

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Пт июн 26, 2009 15:39

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Я и имел ввиду эту серию.

Вернуться наверх

snark

Заголовок сообщения:

Добавлено: Пн июн 29, 2009 12:48

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13

самое обидное - что этот вопрос уже неоднократно разжевывался, достаточно было воспользоваться поиском ...

_________________
с уважением, БП

Вернуться наверх

spruce

Заголовок сообщения:

Добавлено: Пн июн 29, 2009 17:39

Зарегистрирован: Чт апр 12, 2007 20:10
Сообщений: 141
Откуда: Московская область

Оффтоп, можно было бы и не критиковать... Если вы не заметили, то тема не первой свежести... а по вопросу необходимо было уточнить...

Вернуться наверх

snark

Заголовок сообщения:

Добавлено: Пн июн 29, 2009 17:51

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13

spruce писал(а):

Оффтоп, можно было бы и не критиковать

я и не думал критиковать! я всего лишь уточнил, а то вдруг кто-то поиском наткнется

spruce писал(а):

Если вы не заметили, то тема не первой свежести

как показывает практика - в старых темах содержится масса интересного

и это хорошо что Вы ее подняли, а не стали, как большинство, создавать новую тему ... порой лучше заниматься археологией, чем плодить массу дублирующих друг-друга новых тем ...

_________________
с уважением, БП

Вернуться наверх

spruce

Заголовок сообщения:

Добавлено: Пн июн 29, 2009 21:54

Зарегистрирован: Чт апр 12, 2007 20:10
Сообщений: 141
Откуда: Московская область

Что то вы учить начали, вы лучше по теме... по теме, товарищ дорогой...

Вернуться наверх

snark

Заголовок сообщения:

Добавлено: Вт июн 30, 2009 11:59

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13

spruce писал(а):

Что то вы учить начали

и в мыслях небыло! чесслово!

_________________
с уважением, БП

Вернуться наверх

Страница 2 из 2

[ Сообщений: 27 ]

На страницу Пред. 1, 2

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 12

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения