На сети стоят коммутаторы DES-3028 и DES-3526. Построение влан на дом коммутаторы в отдельном влане. Сейчас внедряем IPTV и VoIP соответственно возникла необходимость красить трафик на уровне доступа. В итоге на 3028 все пожелания в свободные ACL влезли, а вот на 3526 не получается.

Прошивки:
3028 Build 2.30.B04
3526 Build 6.00.B22

И так как хочется красить трафик:

7 Управляющий трафик (SNMP, SNMP Traps, telnet, ssh, tftp)
6 VoIP
5 IPTV, DNS
4 WEB, FTP, ICMP
3 Исходящий от пользователей трафик в Интернет
2 Локальный трафик между пользователями, локальные пиринги
0 Трафик не попавший под выше перечисленные определения

Как оно реализовано на 3028:

create access_profile ip icmp profile_id 2
config access_profile profile_id 2 add access_id auto_assign ip icmp port all permit priority 4
#icmp priority
-----------------------------------------------------------------------------------------------------------------------------------------
create access_profile ip tcp src_port_mask 0xFFFF profile_id 3
config access_profile profile_id 3 add access_id auto_assign ip tcp src_port 22 port all permit priority 7
config access_profile profile_id 3 add access_id auto_assign ip tcp src_port 23 port all permit priority 7
config access_profile profile_id 3 add access_id auto_assign ip tcp src_port 69 port all permit priority 7
config access_profile profile_id 3 add access_id auto_assign ip tcp src_port 161 port all permit priority 7
config access_profile profile_id 3 add access_id auto_assign ip tcp src_port 162 port all permit priority 7
config access_profile profile_id 3 add access_id auto_assign ip tcp src_port 53 port all permit priority 5
config access_profile profile_id 3 add access_id auto_assign ip tcp src_port 21 port all permit priority 4
config access_profile profile_id 3 add access_id auto_assign ip tcp src_port 80 port all permit priority 4
config access_profile profile_id 3 add access_id auto_assign ip tcp src_port 443 port all permit priority 4
#tcp source ports deny & priority
-----------------------------------------------------------------------------------------------------------------------------------------
create access_profile ip udp src_port_mask 0xFFFF profile_id 4
config access_profile profile_id 4 add access_id auto_assign ip udp src_port 69 port all permit priority 7
config access_profile profile_id 4 add access_id auto_assign ip udp src_port 161 port all permit priority 7
config access_profile profile_id 4 add access_id auto_assign ip udp src_port 162 port all permit priority 7
#tcp source ports deny & priority
-----------------------------------------------------------------------------------------------------------------------------------------
create access_profile ip tcp dst_port_mask 0xFFFF profile_id 5
config access_profile profile_id 5 add access_id auto_assign ip tcp dst_port 22 port all permit priority 7
config access_profile profile_id 5 add access_id auto_assign ip tcp dst_port 23 port all permit priority 7
config access_profile profile_id 5 add access_id auto_assign ip tcp dst_port 69 port all permit priority 7
config access_profile profile_id 5 add access_id auto_assign ip tcp dst_port 161 port all permit priority 7
config access_profile profile_id 5 add access_id auto_assign ip tcp dst_port 162 port all permit priority 7
config access_profile profile_id 5 add access_id auto_assign ip tcp dst_port 53 port all permit priority 5
config access_profile profile_id 5 add access_id auto_assign ip tcp dst_port 21 port all permit priority 4
config access_profile profile_id 5 add access_id auto_assign ip tcp dst_port 80 port all permit priority 4
config access_profile profile_id 5 add access_id auto_assign ip tcp dst_port 443 port all permit priority 4
config access_profile profile_id 5 add access_id auto_assign ip tcp dst_port 67 port all deny
config access_profile profile_id 5 add access_id auto_assign ip tcp dst_port 135 port all deny
config access_profile profile_id 5 add access_id auto_assign ip tcp dst_port 137 port all deny
config access_profile profile_id 5 add access_id auto_assign ip tcp dst_port 138 port all deny
config access_profile profile_id 5 add access_id auto_assign ip tcp dst_port 139 port all deny
config access_profile profile_id 5 add access_id auto_assign ip tcp dst_port 445 port all deny
config access_profile profile_id 5 add access_id auto_assign ip tcp dst_port 1900 port all deny
#tcp destination ports deny & priority
-----------------------------------------------------------------------------------------------------------------------------------------
create access_profile ip udp dst_port_mask 0xFFFF profile_id 6
config access_profile profile_id 6 add access_id auto_assign ip udp dst_port 69 port all permit priority 7
config access_profile profile_id 6 add access_id auto_assign ip udp dst_port 161 port all permit priority 7
config access_profile profile_id 6 add access_id auto_assign ip udp dst_port 162 port all permit priority 7
config access_profile profile_id 6 add access_id auto_assign ip udp dst_port 67 port all deny
config access_profile profile_id 6 add access_id auto_assign ip udp dst_port 135 port all deny
config access_profile profile_id 6 add access_id auto_assign ip udp dst_port 137 port all deny
config access_profile profile_id 6 add access_id auto_assign ip udp dst_port 138 port all deny
config access_profile profile_id 6 add access_id auto_assign ip udp dst_port 139 port all deny
config access_profile profile_id 6 add access_id auto_assign ip udp dst_port 445 port all deny
config access_profile profile_id 6 add access_id auto_assign ip udp dst_port 1900 port all deny
#udp destination ports deny & priority
-----------------------------------------------------------------------------------------------------------------------------------------
create access_profile ip source_ip_mask 255.0.0.0 destination_ip_mask 255.0.0.0 profile_id 7
config access_profile profile_id 7 add access_id auto_assign ip source_ip 10.0.0.0 port 26 permit priority 2
config access_profile profile_id 7 add access_id auto_assign ip destination_ip 10.0.0.0 port 1-25,27-28 permit priority 2
config access_profile profile_id 7 add access_id auto_assign ip source_ip 10.0.0.0 port 1-25,27-28 permit priority 3
#local(4) internet(5) priority for 10.0.0.0/8
-----------------------------------------------------------------------------------------------------------------------------------------
create access_profile ip source_ip_mask 255.255.0.0 destination_ip_mask 255.255.0.0 profile_id 8
config access_profile profile_id 8 add access_id auto_assign ip source_ip 192.168.0.0 port 26 permit priority 2
config access_profile profile_id 8 add access_id auto_assign ip destination_ip 168.192.0.0 port 1-25,27-28 permit priority 2
config access_profile profile_id 8 add access_id auto_assign ip source_ip 192.168.0.0 port 1-25,27-28 permit priority 3
#local(4) internet(5) priority for 192.168.0.0/16
-----------------------------------------------------------------------------------------------------------------------------------------
create access_profile ip destination_ip_mask 240.0.0.0 profile_id 9
config access_profile profile_id 9 add access_id auto_assign ip destination_ip 224.0.0.0 port all deny
#multicast deny & priority
-----------------------------------------------------------------------------------------------------------------------------------------
create access_profile ip source_ip_mask 255.255.255.255 destination_ip_mask 255.255.255.255 profile_id 10
#config access_profile profile_id 10 add access_id auto_assign ip source_ip 10.10.10.10 port all permit priority 6
#config access_profile profile_id 10 add access_id auto_assign ip destination_ip 10.10.10.10 port all permit priority 6
#host priority
-----------------------------------------------------------------------------------------------------------------------------------------
create access_profile ethernet ethernet_type profile_id 11
config access_profile profile_id 11 add access_id auto_assign ethernet ethernet_type 0x806 port all permit priority 2
#permit arp
config access_profile profile_id 11 add access_id auto_assign ethernet ethernet_type 0x800 port all permit priority 3
#permit ip v4
config access_profile profile_id 11 add access_id auto_assign ethernet ethernet_type 0x8181 port all permit priority 2
#permit stp
config access_profile profile_id 11 add access_id auto_assign ethernet ethernet_type 0x9000 port all permit priority 2
#permit loopback
-----------------------------------------------------------------------------------------------------------------------------------------
create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type profile_id 12
config access_profile profile_id 12 add access_id auto_assign ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x800 port all deny
#deny ip broadcast
-----------------------------------------------------------------------------------------------------------------------------------------
create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 13
config access_profile profile_id 13 add access_id auto_assign ethernet source_mac CF-00-00-00-00-00 port all permit
#permit loopback
config access_profile profile_id 13 add access_id auto_assign ethernet source_mac 01-80-C2-00-00-00 port all permit
#permit stp
config access_profile profile_id 13 add access_id auto_assign ethernet source_mac 09-00-77-00-00-01 port all permit
#permit stp
config access_profile profile_id 13 add access_id auto_assign ethernet source_mac 00-00-00-00-00-00 port all deny
#deny all

Как оно работает:

Правило номер 2 присваивает ICMP приоритет 4
Правило номер 3 присваивает TCP пакетам отправленных с портов 22,23,69.161.162 приоритет 7, с пора 53 приоритет 5, с портов 21,80,443
Правило номер 4 присваивает UDP пакетам отправленных с портов 69.161.162 приоритет 7
Правило номер 5 присваивает TCP пакетам отправленных на порты 22,23,69,161,162 приоритет 7, на порт 53 приоритет 5, с портов 21,80,443, с портов 67,135,137,138,445,1900 блокирует.
Правило номер 6 присваивает UDP пакетам отправленных на порты 69,161,162 приоритет 7, на порт 53 приоритет 5, с портов 21,80,443, с портов 67,135,137,138,445,1900 блокирует.
Правило номер 7 первым действием присваивает всем пакетам входящим на аплинк коммутатора с сети 10.0.0.0/8 присваивает приоритет 2, вторым действием все пакеты отравленные с портов не являющихся аплинком на сеть 10.0.0.0/8 присваивает приоритет 2, третьим действием все пакеты отравленные с портов не являющихся аплинком с сети 10.0.0.0/8. Таким образом всему ip трафику внутри сети 10.0.0.0/8 присваивается приоритет 2 а всему ip трафику из сети 10.0.0.0/8 присваивается приоритет 3.
Правило номер 8 первым действием присваивает всем пакетам входящим на аплинк коммутатора с сети 192.168.0.0/16 присваивает приоритет 2, вторым действием все пакеты отравленные с портов не являющихся аплинком на сеть 192.168.0.0/16 присваивает приоритет 2, третьим действием все пакеты отравленные с портов не являющихся аплинком с сети 192.168.0.0/16. Таким образом всему ip трафику внутри сети 192.168.0.0/16 присваивается приоритет 2 а всему ip трафику из сети 192.168.0.0/16присваивается приоритет 3.
Правило номер 9 блокирует всю сеть мультикаста, в дальнейшем сюда можно будет добавить наши разрешенные сети мультикаста с любым приоритетом.
Правило номер 10 дает возможность выставить любой приоритет любому хосту. Как пример указан 10.10.10.10 (VoIP сервер)
Правило номер 11 разрешает arк,loopback,stp и разрешает IPv4 присваивая ему приоритет 3. Таким образом весь IPv4 трафик не попавший под выше описанные правила получает приоритет 3.
Правило номер 12 блокирует ip броадкаст
Правило номер 13 разрешает маки необходимые для корректной работы STP, Loopback и запрещает любой трафик не описанный существующими правилами.

Если кто найдет какие либо ошибки в этом ACL буду рад слышать.
Все это даже работает и красит все так как хочется, но на 3526 ни как не могу все желаемое поместить.

Помогите сгенерить подобный конфиг для 3526 сам уже голову сломал ну ни как не получается.

можно сэкономить с помощью packet content filtering.

но нужно ли Вам так досконально красить его от абонента?
если есть узкие магистрали, то там наверняка преобладает трафик к абоненту, т.е. если на магистрали случается затык от него, то магистраль давно пора расширять.

я бы покрасил телефон, тиви, локалку и инет.

Красить именно от пользователя просто необходимо, поскольку все это домашняя сеть с большим количеством локального трафика (p2p клиенты и прочий паразитный ужас), и отказываться от 7 приоритета управления сетью тоже не хочется, поскольку не редкий случай флуда может запросто отвалить коммутатор. Packet content filtering конечно же экономит правила по udp и tcp портам, но на 3526 все равно не влезает =/

самый первый и самый главный вопрос - управление в отдельном VLAN или в общем в юзерами? почему именно этот вопрос? видите ли, дело в том что если управление в отдельном VLAN то все ваши правила его приоретизации могут ужаться до одного, например такого:

да и то это правило нужно только если свичи соеденены цепочкой, а если у Вас чистая звезда, то даже это правило не нужно, т.к. свич не умеет преоретизировать трафик порожденный самим свичом, но зато прекрасно поймет метки полученные им из сети, т.е. вы можете преоретизировать управление где нибудь на агрегации

VoIP ... тут либо написать всего одно правило, например на диапазон портов, по которым голос бегает, но я бы вообще рекомендовал телефоны подключать в отдельные порты, в отдельный же VLAN

IPTV ... э-э-э ... как бы вам сказать ... в общем - ACL не видит мультикаст трафик, т.е. заблокировать Вы его не сможете - это 100% и приоретизировать пожалуй тоже ...

web, ftp и прочая, при дефиците ACL - это глупости! Вам есть смысл написать правило для локального трафика, ну а все что не попало под локалку - это уже интернет и соответственно он идет с другим приоритетом ...

_________________
с уважением, БП

Спасибо за ответ!
Приоритезировать Vlan управления не хотелось бы (были случаи когда в влан управления шел флуд со сгоревшего порта коммутатора. От сюда и желание повысить приоритет.
VoIP в индивидуальный Vlan поместить не получится (противоречит поставленному мне ТЗ)
По поводу мультикаста. Это у меня не правильно составленное правило которое не кореткно работает с мултикастом, или же коммутатор не умеет фильтровать мультикаст с помощью ACL?

случаи когда флуд от сгоревшего порта идет во влан управления буквально еденичны, а вот распространение флуда по тому влану в котором сгорел порт - это сплошь и рядом (эх, знать бы еще что шлет свич когда сгорает порт и как с этим бороться) ... все же Вы вынесите управление в отд. влан и приоретизируйте его на агрегации - так только в выигрыше будете


тогда либо правило на диапазон, либо РСМ правило на протокол ...


в 3526, да и наверное во всех остальных моделях, ACL вообще не видит мультикаста, т.е. работает схема в духе:

т.е. ACL сами по себе, а мультикаст сам по себе ...

_________________
с уважением, БП

Спасибо за пояснения.

Не ожидал такой подставы с мультикастом =/

http://www.dlink.ru/ru/faq/58/268.html , "Пример 5: Приоритезация видео-потока Multicast" - уже отменили? О_о

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.

Ничего подобного. DGS-3200-10 прекрасно обрабатывает мультикаст. В том числе при включенном IGMP snooping.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Хочется услышать официальный ответ от представителей D-link по этому поводу.

2 Chupaka and Dima G.
получается немного странная ситуация - механизм ACL таки видит мультикаст но как-то непонятно, т.е. заблокировать мультикаст с помощью ACL нельзя (сколько тут баталий было по этому поводу), а приоретизировать можно (про FAQ признаюсь, забыл) ...

_________________
с уважением, БП

И заблокировать тоже можно. Вот кусок моих правил:


01-00-5E-00-00-01 - это мультикастовый 224.0.0.1 (IGMP Query), его разрешаю, а остальное (провайдерский OSPF, PIM и т.д.) режется 11-м профилем. Это проверено и прекрасно работает.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

хм ... получается МАС-и с 01:00:5e:00:00:00 до 01:00:5e:7f:ff:ff они прекрасно видят и могут резать, а сеть 224.0.0.0 в правилах блокировки игнорируют и трафик не режут ...

_________________
с уважением, БП

Именно так. Точнее в правилах отказываются резать лишь служебный диапазон 224.0.0.1-224.0.0.255. Правда, сейчас для DGS3200-10 есть прошивка, в которой можно резать следующие мультикасты: IGMP Query, DVMRP, PIM, OSPF, RIP, VRRP.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

все становится еще интереснее суть такова ... года наверное 3, а мб и больше, назад я пытался отрезать клиентский мультикаст с помощью ACL вбивая в них подсеть (не МАС!), что, как Вы понимаете было безрезультатно ... тут есть несколько древних топиков, где как раз и было высказано мнение о том что для блокировки мультикаста ACL не подходят, что мультикаст и ACL это разные вещи и для мультикаста надо использовать другие методы ... ок! сказано - сделано ... с тех пор мультикаст блокируется другими методами и я ничтожно сумлеваясь пишу о том что мультикаст с помощью ACL заблокировать нельзя, но тут появляетесь Вы и показываете _рабочее_ правило которое какбе намекает что многоуважаемой ТП пора бы расставить все точки над i как в этом вопросе вообще, так и в вопросе "каков порядок действия механизмов блокировки/разрешения в свиче?" в частности, т.к. то что приведено выше (блокирование мультикаста через ACL) я до сих пор пытаюсь осознать ... это получается что правило:

будет работать ...

P.S. вот пример, из собственного опыта, который говорит о том что схема того как и что работает в свиче все же не помешала бы:
в 3526 при использовании DHCP relay можно вообще запретить DHCP трафик:

т.е. все выглядит как:

но на 3028 все уже иначе:

и правила меняются:

пардон конечно, но почему бы нам всем сразу не рассказать что, как и в каком порядке работает в свичах? а то остается только надеяться на коллективный разум, который мб протестит какую нить фичу и расскажет что получилось, что нет и что и как работает

_________________
с уважением, БП