faq обучение настройка
Текущее время: Чт авг 21, 2025 04:56

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 13 ] 
Автор Сообщение
 Заголовок сообщения: Проблема с ACL на 3028
СообщениеДобавлено: Вт июн 02, 2009 15:13 
Не в сети

Зарегистрирован: Вс дек 16, 2007 22:11
Сообщений: 2
нужно запретить вход на коммутатор на 80 порт для всех крому 10,5,0,250
10,5,0,16 айпи коммутатора

попытка №1
Код:
create access_profile  packet_content  offset_32-47  0x0 0xffff 0xffffffff 0xffff0000 offset_48-63  0xffff0000 0x0 0x0 0x0  profile_id 1

config access_profile profile_id 1  add access_id 1  packet_content  offset 36 0x0a05 offset 40 00fae9e0a05 offset 44 0x100000 offset 48 0x500000  port 1-28 permit rx_rate no_limit

config access_profile profile_id 1  add access_id 2  packet_content  offset 36 0xffff offset 40 0xffff0a05 offset 44 0x100000 offset 48 0x500000  port 1-28 deny


попытка №2

Код:
create cpu access_profile profile_id 1 packet_content  offset_32-47  0x0 0xffff 0xffffffff 0xffff0000 offset_48-63  0xffff0000 0x0 0x0 0x0

config cpu access_profile profile_id 1  add access_id 1  packet_content  offset_32-47  0x0 0xa05 0xfa0a05 0x100000 offset_48-63  0x500000 0x0 0x0 0x0  port 1-28 permit

config cpu access_profile profile_id 1  add access_id 2  packet_content  offset_32-47  0x0 0xffff 0xffff0a05 0x100000 offset_48-63  0x500000 0x0 0x0 0x0  port 1-28 deny

enable cpu_interface_filtering


обе попытки были не удачными


Device Type : DES-3028 Fast Ethernet Switch
IP Address : 10.5.0.16 (Manual)
VLAN Name : d-link
Subnet Mask : 255.255.0.0
Default Gateway : 10.5.0.1
Boot PROM Version : Build 1.00-B04
Firmware Version : Build 2.20.B07
Hardware Version : A1

Подскажите, пожалуйста....


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт июн 02, 2009 16:21 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow
Воспользуйтесь функцией trusted_host


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Проблема с ACL на 3028
СообщениеДобавлено: Вт июн 02, 2009 16:32 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
Попытка вторая более правильная, так как это делается через cpu_interface_filtering, но лучше это делать не через PCF профиль, так как тут нужно учитывать untag и tag трафик, это лучше сделать через IP профиль.

_________________
С уважением,
Бигаров Руслан.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср июн 03, 2009 10:40 
Не в сети

Зарегистрирован: Вт июн 02, 2009 14:55
Сообщений: 2
пытаюсь запретить активность на 445 порт, ничего не получается

Код:
create access_profile  packet_content  offset_32-47  0x0 0x0 0xffff0000 0x0  profile_id 2
config access_profile profile_id 2  add access_id 1  packet_content  offset 40 0x1bd0000  port 1-28 deny


Device Type : DES-3028 Fast Ethernet Switch
Boot PROM Version : Build 1.00-B04
Firmware Version : Build 2.20.B07
Hardware Version : A1

помогите пожалуйста


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср июн 03, 2009 11:36 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Нужно учитывать tag или untag трафик, подобная тема уже поднималась здесь:
http://forum.dlink.ru/viewtopic.php?t=84090


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср июн 03, 2009 13:12 
Не в сети

Зарегистрирован: Вт июн 02, 2009 14:55
Сообщений: 2
Спасибо, разобрался


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср июл 29, 2009 10:42 
Не в сети

Зарегистрирован: Вт дек 23, 2008 05:02
Сообщений: 27
Откуда: Chita
Добрый день!
Задача: пропусть траффик влана Test (333 vid) без фильтрации,во всех остальные вланах включая default зарезать "расшары".
За основу взял вот это: viewtopic.php?t=84090 и это: http://dlink.ru/ru/faq/62/240.html
Схема:
Изображение

Firmware Version : Build 2.10.B02
Выдержка из конфига:
Код:
create access_profile  ip  vlan  profile_id 1
config access_profile profile_id 1  add access_id 1  ip  vlan Test          port 1-28 permit
create access_profile  packet_content  offset_32-47  0x0 0x0 0xffff0000 0x0  profile_id 4
config access_profile profile_id 4  add access_id 1  packet_content  offset 40 0x870000  port 1-28 deny
config access_profile profile_id 4  add access_id 2  packet_content  offset 40 0x890000  port 1-28 deny
config access_profile profile_id 4  add access_id 3  packet_content  offset 40 0x8a0000  port 1-28 deny
config access_profile profile_id 4  add access_id 4  packet_content  offset 40 0x8b0000  port 1-28 deny
config access_profile profile_id 4  add access_id 5  packet_content  offset 40 0x1710000  port 1-28 deny
config access_profile profile_id 4  add access_id 6  packet_content  offset 40 0x1bd0000  port 1-28 deny
config access_profile profile_id 4  add access_id 7  packet_content  offset 40 0x2510000  port 1-28 deny
config access_profile profile_id 4  add access_id 8  packet_content  offset 40 0x76c0000  port 1-28 deny
config access_profile profile_id 4  add access_id 9  packet_content  offset 40 0xb350000  port 1-28 deny
config access_profile profile_id 4  add access_id 10  packet_content  offset 40 0x13880000  port 1-28 deny
create access_profile  packet_content  offset_32-47  0x0 0xffff0000 0x0 0x0  profile_id 5
config access_profile profile_id 5  add access_id 1  packet_content  offset 36 0x870000  port 1-28 deny
config access_profile profile_id 5  add access_id 2  packet_content  offset 36 0x890000  port 1-28 deny
config access_profile profile_id 5  add access_id 3  packet_content  offset 36 0x8a0000  port 1-28 deny
config access_profile profile_id 5  add access_id 4  packet_content  offset 36 0x8b0000  port 1-28 deny
config access_profile profile_id 5  add access_id 5  packet_content  offset 36 0x1710000  port 1-28 deny
config access_profile profile_id 5  add access_id 6  packet_content  offset 36 0x1bd0000  port 1-28 deny
config access_profile profile_id 5  add access_id 7  packet_content  offset 36 0x2510000  port 1-28 deny
config access_profile profile_id 5  add access_id 8  packet_content  offset 36 0x76c0000  port 1-28 deny
config access_profile profile_id 5  add access_id 9  packet_content  offset 36 0xb350000  port 1-28 deny
config access_profile profile_id 5  add access_id 10  packet_content  offset 36 0x13880000  port 1-28 deny


C такими acl ПК1 и ПК2 видят "расшары" друг у друга, а так же "расшары" на ПК3(4). НО ПК3(4) почему-то "расшары" не видят ни у кого.
access_profile 1 не работает на access портах? Заранее спасибо.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср июл 29, 2009 18:40 
Не в сети

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default
конфиг вланов по портам приведите


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт июл 30, 2009 02:36 
Не в сети

Зарегистрирован: Вт дек 23, 2008 05:02
Сообщений: 27
Откуда: Chita
terrible писал(а):
конфиг вланов по портам приведите


Выдержка из конфига:
Код:
# VLAN

disable asymmetric_vlan
disable qinq
config vlan default delete 1-28
config vlan default add untagged 1-12,15-28
config vlan default advertisement enable
create vlan Test tag 333
config vlan Test add tagged 1-2
config vlan Test add untagged 13-14
disable gvrp
config gvrp 1 state disable ingress_checking enable acceptable_frame admit_all pvid 1
config gvrp 2 state disable ingress_checking enable acceptable_frame admit_all pvid 1
.............................................................................................................................................
config gvrp 13 state disable ingress_checking enable acceptable_frame admit_all pvid 333
config gvrp 14 state disable ingress_checking enable acceptable_frame admit_all pvid 333


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт июл 30, 2009 08:42 
Не в сети

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default
у вас нет ассиметричного влана, значит ваши вланы где-то терминируются, вот на терминаторе и надо рулить доступом из одного влана в другой


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт июл 30, 2009 09:30 
Не в сети

Зарегистрирован: Вт дек 23, 2008 05:02
Сообщений: 27
Откуда: Chita
terrible писал(а):
у вас нет ассиметричного влана, значит ваши вланы где-то терминируются, вот на терминаторе и надо рулить доступом из одного влана в другой

Нет, мне не нужен доступ из одного влана в другой, нужно чтобы ПК подключенный к нетегированному порту коммутатора (13и14) видел расшары в том же влане у пк подключенному к тегированному порту (1 и 2 порт).
На сколько я понимаю access_profile 1 должен разрешать прохождение всего трафика по Test влану, но видимо он разрешает только в случае тегированного трафика, но опять же ПК1 и ПК2 почему-то видят расшары ПК3(4)...
Проблема где-то в acl, толко я не могу понять где.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт июл 30, 2009 11:19 
Не в сети

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default
Squirel писал(а):
На сколько я понимаю access_profile 1 должен разрешать прохождение всего трафика по Test влану, но видимо он разрешает только в случае тегированного трафика, но опять же ПК1 и ПК2 почему-то видят расшары ПК3(4)...
Проблема где-то в acl, толко я не могу понять где.

Походу дела так, судя по возможной логике свича предположу, что правило на VLAN действует только в случае входящего тегерированного пакета, а т.к. порты нетегерированные, то тег свич распознать не может (его нет), значит правило работать не будет.

думаю малой кровью можно обойтись:

create access_profile ip tcp profile_id 2
config access_profile profile_id 2 add access_id auto_assign ip tcp port 13-14 permit

create access_profile ip udp profile_id 3
config access_profile profile_id 3 add access_id auto_assign ip udp port 13-14 permit


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт июл 31, 2009 08:59 
Не в сети

Зарегистрирован: Вт дек 23, 2008 05:02
Сообщений: 27
Откуда: Chita
terrible писал(а):
Походу дела так, судя по возможной логике свича предположу, что правило на VLAN действует только в случае входящего тегерированного пакета, а т.к. порты нетегерированные, то тег свич распознать не может (его нет), значит правило работать не будет.
думаю малой кровью можно обойтись:
create access_profile ip tcp profile_id 2
config access_profile profile_id 2 add access_id auto_assign ip tcp port 13-14 permit
create access_profile ip udp profile_id 3
config access_profile profile_id 3 add access_id auto_assign ip udp port 13-14 permit

Точно, так работает, и как я раньше до этого не додумался...большое спасибо terrible за помощь.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 13 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 15


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB