1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Пн июл 21, 2025 02:38

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 2 из 3
  [ Сообщений: 34 ]  На страницу Пред.  1, 2, 3  След.
  Предыдущая тема | Следующая тема 
Автор Сообщение
Dima G.
 Заголовок сообщения:
СообщениеДобавлено: Ср июл 22, 2009 15:48 
Не в сети

Зарегистрирован: Пн сен 27, 2004 12:16
Сообщений: 1978
Откуда: Москва
snark, я полагаю, что ДЛинк в новых железках решил изменить схему работы ACL, поставив ее на первое место вне зависимости от включенных/выключенных функций (и это правильно!). Это можно узнать со временем по отзывам тех, кто купил новую линейку. Мой свитч как раз в относительно новой линейке. И правило, показанное мной выше, работало с самого начала на первой заводской прошивке.
Хотя возможно, что они меняют схему применения ACL в прошивке, а не в железе...

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)
Вернуться наверх
 Профиль  
 
svsh1990
 Заголовок сообщения:
СообщениеДобавлено: Чт июл 23, 2009 06:52 
Не в сети

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль
Dima G. писал(а):
[я полагаю, что ДЛинк в новых железках решил изменить схему работы ACL, поставив ее на первое место вне зависимости от включенных/выключенных функций (и это правильно!).

скорее уж производители чипсетов. мир не стоит на месте)

_________________
LiveComm
Вернуться наверх
 Профиль  
 
Bigarov Ruslan
 Заголовок сообщения:
СообщениеДобавлено: Чт июл 23, 2009 10:01 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
Знающий всё на 200% Techsupport - это миф. Мы не можем знать всё, но при правильно поставленных вопросах мы ответим сами или уточним и ответим.

svsh1990 совершенно прав, тут всё зависит от Broadcom-а.

_________________
С уважением,
Бигаров Руслан.
Вернуться наверх
 Профиль  
 
DeoMeoAm
 Заголовок сообщения:
СообщениеДобавлено: Чт июл 23, 2009 13:11 
Не в сети

Зарегистрирован: Сб май 17, 2008 13:23
Сообщений: 16
Тогда хочется знать, будет ли работать мой конфиг ACL на DES-3028 так как я же описывал в первом своем сообщении?
Вернуться наверх
 Профиль  
 
Bigarov Ruslan
 Заголовок сообщения:
СообщениеДобавлено: Чт июл 30, 2009 09:23 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
DeoMeoAm писал(а):
Тогда хочется знать, будет ли работать мой конфиг ACL на DES-3028 так как я же описывал в первом своем сообщении?


Вы не перепутали!? Вы спрашивали как реализовать это на DES-3526 ...

Что касаемо ACL листов, то у Вас много лишних правил, например, в профиле 5 присутствует то, что уже есть в профиле 3, а в профиле 6 есть то, что есть в 4, это излишне, так как проверка идёт до первого совпадения. А 13 профиль, вообще, ни о чём, маской Вы разрешаете все МАС-ки, а потом 4-е бесполезных правила, а если быть точнее то со второго по четвёртый, так как первым Вы разрешаете любой трафик, т.е. Вам нужно создать 4-е отдельных профиля для этих правил и особое внимание уделить маске профиля.

_________________
С уважением,
Бигаров Руслан.
Вернуться наверх
 Профиль  
 
DeoMeoAm
 Заголовок сообщения:
СообщениеДобавлено: Чт июл 30, 2009 15:42 
Не в сети

Зарегистрирован: Сб май 17, 2008 13:23
Сообщений: 16
Спасибо за ответ!

Я спросил будет ли данная ACL работать на 3028, и в первом посте конфиг именно для них и приведен

в профиле 3 create access_profile ip tcp src_port_mask 0xFFFF profile_id 3
в профиле 5 create access_profile ip tcp dst_port_mask 0xFFFF profile_id 5

по моему разница очевидна и естественно надо работать как с источником так и с назначением поясните пожалуйста каким образом они совпадают?

Тоже самое правила 4 и 6

create access_profile ip udp src_port_mask 0xFFFF profile_id 4
create access_profile ip udp dst_port_mask 0xFFFF profile_id 6

так-же назначение и источник, как они могут совпадать?

13 правило если я правильно понял надо бить следующим образом:

create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF profile_id 13
config access_profile profile_id 13 add access_id auto_assign ethernet source_mac CF-00-00-00-00-00 port all permit
#permit loopback
config access_profile profile_id 13 add access_id auto_assign ethernet source_mac 01-80-C2-00-00-00 port all permit
#permit stp
config access_profile profile_id 13 add access_id auto_assign ethernet source_mac 09-00-77-00-00-01 port all permit
#permit stp

create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 14
config access_profile profile_id 14 add access_id auto_assign ethernet source_mac 00-00-00-00-00-00 port all deny
#deny all

И хотелось услышать что ни будь по поводу остальных правил.

Заранее спасибо.
Вернуться наверх
 Профиль  
 
Bigarov Ruslan
 Заголовок сообщения:
СообщениеДобавлено: Чт июл 30, 2009 17:17 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
Для SMB трафика достаточно dst_port_mask, для остальных нужно учесть особенности, просто, всегда нужно оптимизировать ACL.

_________________
С уважением,
Бигаров Руслан.
Вернуться наверх
 Профиль  
 
DeoMeoAm
 Заголовок сообщения:
СообщениеДобавлено: Пт июл 31, 2009 10:25 
Не в сети

Зарегистрирован: Сб май 17, 2008 13:23
Сообщений: 16
Спасибо Руслан!
По поводу 3-6 правил все понятно, я так понимаю надо писать правила на офсет и убрать правила на источник для портов самбы.

хотелось бы знать будет ли работать правило 9 на 3028, или так же как и на 3526 ни чего не получится?

create access_profile ip destination_ip_mask 240.0.0.0 profile_id 9
config access_profile profile_id 9 add access_id auto_assign ip destination_ip 224.0.0.0 port all deny

запретит ли оно мультикаст?
Вернуться наверх
 Профиль  
 
Bigarov Ruslan
 Заголовок сообщения:
СообщениеДобавлено: Пт июл 31, 2009 10:44 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
Вы предоставляете IPTV услуги или нет? Ваша задача просто перекрыть Multicast трафик со стороны клиента!?

_________________
С уважением,
Бигаров Руслан.
Вернуться наверх
 Профиль  
 
DeoMeoAm
 Заголовок сообщения:
СообщениеДобавлено: Пт июл 31, 2009 11:10 
Не в сети

Зарегистрирован: Сб май 17, 2008 13:23
Сообщений: 16
Да я хочу просто заблокировать мультикаст.
Вернуться наверх
 Профиль  
 
Bigarov Ruslan
 Заголовок сообщения:
СообщениеДобавлено: Пт июл 31, 2009 11:36 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
Мы проверим и напишем по результатам.

_________________
С уважением,
Бигаров Руслан.
Вернуться наверх
 Профиль  
 
Bigarov Ruslan
 Заголовок сообщения:
СообщениеДобавлено: Пт июл 31, 2009 13:49 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
Мы проверили на DES-3028 данные ACL, они работают как с выключенным IGMP Snooping, так и с включённым.

_________________
С уважением,
Бигаров Руслан.
Вернуться наверх
 Профиль  
 
DeoMeoAm
 Заголовок сообщения:
СообщениеДобавлено: Пт июл 31, 2009 14:09 
Не в сети

Зарегистрирован: Сб май 17, 2008 13:23
Сообщений: 16
Спасибо! Рад слышать.
Вернуться наверх
 Профиль  
 
Cpulink
 Заголовок сообщения:
СообщениеДобавлено: Пт окт 09, 2009 09:31 
Не в сети

Зарегистрирован: Чт апр 10, 2008 17:45
Сообщений: 41
Откуда: Ярославская обл.
Знающие люди покритикуйте конфиг. А то как не борюсь с мультикастом,
все одно в igmp snooping вижу
100 239.255.255.250 01:00:5e:7f:ff:fa Non-Querier .
Что то видимо не понимаю в этом деле......

Код:
#creating VLAN's
create vlan v3 tag 3
config vlan v3 add tagged 25-26
config vlan default delete 1-24
config vlan v3 add untagged 1-24
create vlan v4 tag 4
config vlan v4 add tagged 25-26
create vlan v5 tag 5
config vlan v5 add tagged 25-26
#Loop detect
enable loopdetect
config loopdetect ports 1-24 state enabled
config loopdetect ports 25-26 state disabled
config loopdetect interval 5
#Shutdown virus ports
config traffic control_trap both
config traffic control 1-24 broadcast enable multicast enable action shutdown threshold 5
#time-zone s servera
enable sntp
config sntp primary 10.x.x.254 secondary 10.x.x.23 poll-interval 720
config time_zone operator + hour 3 min 0
config dst repeating s_week last s_day sun s_mth 3 s_time 02:00 e_week last e_day sun e_mth 10 e_time 03:00 offset 60
#priority fix
#DSCP mapping VoIP-56  IPTV-48 DefVlan-24 DHCP-16 INET-8
config 802.1p user_priority 0  0
config 802.1p user_priority 1  0
config 802.1p user_priority 2  1
config 802.1p user_priority 3  1
config 802.1p user_priority 4  2
config 802.1p user_priority 5  2
config 802.1p user_priority 6  3
config 802.1p user_priority 7  3
#net 10.0.0.x not for users - drop arp reply
create access_profile packet_content_mask offset_16-31 0xffffffff 0xffffffff 0xffff0000 0x0 offset_32-47 0xFFFFFF00 0x0 0x0 0x0 profile_id 1
config access_profile profile_id 1 add access_id 1 packet_content_mask offset_16-31 0x08060001 0x08000604 0x00020000 0x0 offset_32-47 0x0A000000 0x0 0x0 0x0 port 1-24 deny
#Sniffer virus drop
create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF profile_id 14
config access_profile profile_id 14 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-26 deny
#NETBIOS and windows - DROP
create access_profile packet_content_mask offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 7
config access_profile profile_id 7 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x00870000 0x0 port 1-26 deny
config access_profile profile_id 7 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x00890000 0x0 port 1-26 deny
config access_profile profile_id 7 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x008a0000 0x0 port 1-26 deny
config access_profile profile_id 7 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x008b0000 0x0 port 1-26 deny
config access_profile profile_id 7 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x01bd0000 0x0 port 1-26 deny
config access_profile profile_id 7 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x076c0000 0x0 port 1-26 deny
#DHCP client zapros enable+Priority
config access_profile profile_id 7 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x430000 0x0 port 1-26 permit priority 3 replace_priority replace_dscp_with 16
#DHCP server otvet enable+Priority
config access_profile profile_id 7 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x00440000 0x0 port 25,26 permit priority 3 replace_priority replace_dscp_with 16
#DHCP zapret otvet ot cliet
config access_profile profile_id 7 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x00440000 0x0 port 1-24 deny
#SIP+Priority
config access_profile profile_id 7 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x13c40000 0x0 port 1-26 permit priority 7 replace_priority replace_dscp_with 56
#ARP enable
create access_profile ethernet destination_mac ff-ff-ff-ff-ff-ff ethernet_type profile_id 19
config access_profile profile_id 19 add access_id auto_assign ethernet destination_mac ff-ff-ff-ff-ff-ff ethernet_type 0x806 port 1-26 permit
#Drop brodcast
create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF profile_id 20
config access_profile profile_id 20 add access_id auto_assign ethernet destination_mac FF-FF-FF-FF-FF-FF port 1-26 deny
config access_profile profile_id 20 add access_id auto_assign ethernet destination_mac 01-00-5e-00-00-fb port 1-26 deny
config access_profile profile_id 20 add access_id auto_assign ethernet destination_mac 01-00-5e-00-00-fc port 1-26 deny
config access_profile profile_id 20 add access_id auto_assign ethernet destination_mac 01-00-5e-00-00-fd port 1-26 deny
config access_profile profile_id 20 add access_id auto_assign ethernet destination_mac 01-00-5e-7f-ff-fa port 1-26 deny
#Enable IPTV multicast+Priority
create access_profile ip destination_ip_mask 255.255.255.0 profile_id 5
config access_profile profile_id 5 add access_id auto_assign ip destination_ip 224.0.0.0 port 1-26 permit priority 5 replace_priority replace_dscp_with 48
config access_profile profile_id 5 add access_id auto_assign ip destination_ip 224.244.244.0 port 1-26 permit priority 5 replace_priority replace_dscp_with 48
#add for Priority dest 10.0.0.x
config access_profile profile_id 5 add access_id auto_assign ip destination_ip 10.0.0.0 port 1-26 permit priority 2 replace_priority replace_dscp_with 8
#Drop multicast
create access_profile ethernet destination_mac FF-FF-FF-00-00-00 profile_id 6
config access_profile profile_id 6 add access_id auto_assign ethernet destination_mac 01-00-5e-00-00-00 port 1-26 deny
#Priority DefVlan
create access_profile ethernet vlan profile_id 25
config access_profile profile_id 25 add access_id auto_assign ethernet vlan default port 25-26 permit priority 7 replace_priority replace_dscp_with 60
#v5 Inet
config access_profile profile_id 25 add access_id auto_assign ethernet vlan v5 port 1-26 permit priority 2 replace_priority replace_dscp_with 8
#Igmp snooping
enable igmp_snooping
#ISM VLAN
create igmp_snooping multicast_vlan tv100 100
config igmp_snooping multicast_vlan tv100 member_port 1-24 source_port 25-26 state enable replace_source_ip 10.x.x.9
config igmp_snooping tv100 host_timeout 260 router_timeout 260 leave_timer 2 state enable
config igmp_snooping querier tv100 query_interval 125 max_response_time 10 robustness_variable 2
config igmp_snooping querier tv100 last_member_query_interval 1 state enable
#block clients route
config multicast port_filtering_mode 1-26 filter_unregistered_groups
config router_ports_forbidden v3 add 1-24
#Enable 224.244.244.0
create multicast_range tv1 from 224.244.244.1 to 224.244.244.254
config limited_multicast_addr ports 1-24 add multicast_range tv1
config limited_multicast_addr ports 1-24 access permit state enable
[/code]
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Вс окт 11, 2009 22:56 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Во-первых обязательно нужно сделать вот так при ваших настройках:

config multicast port_filtering_mode 25-26 filter_unregistered_groups
config multicast port_filtering_mode 1-24 forward_unregistered_groups

Во-вторых а что у Вас не работает?
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 2 из 3
  [ Сообщений: 34 ]  На страницу Пред.  1, 2, 3  След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Majestic-12 [Bot] и гости: 166

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB