1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Пн июл 28, 2025 11:59

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 12 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
KovAl59
 Заголовок сообщения: DGS 3100-24 проблемы с ACL
СообщениеДобавлено: Вс сен 06, 2009 21:00 
Не в сети

Зарегистрирован: Ср июл 29, 2009 13:26
Сообщений: 544
Откуда: Фурманов
Рисую такую "конструкцию" на сабж:
Код:
create access_profile profile_id 1 ethernet destination_mac ff-ff-ff-ff-ff-ff ethernet_type
config access_profile profile_id 1 add access_id auto_assign ethernet destination_mac ff-ff-ff-ff-ff-ff ethernet_type 806 ports 1:8 permit

create access_profile profile_id 2 ip source_ip_mask 255.255.255.255
config access_profile profile_id 2 add access_id auto_assign ip source_ip 192.168.110.83 ports 1:8 permit

create access_profile profile_id 3 ip tcp dst_port_mask ffff source_ip_mask 255.255.255.255 destination_ip_mask 255.255.255.255
config access_profile profile_id 3 add access_id auto_assign ip tcp dst_port 5190 source_ip 192.168.110.82 destination_ip 192.168.3.3 ports 1:8 permit

create access_profile profile_id 15 ethernet destination_mac 00-00-00-00-00-00
config access_profile profile_id 15 add access_id auto_assign ethernet destination_mac 00-00-00-00-00-00 ports 1:8 deny

После добавления правила в profile_id 15 весь трафик по 8-му порту перестает ходить, хотя должен ходить безпрепятственно от 192.168.110.83. На 3526 такая конструкция отрабатывает "на ура", с 3100 что-то упрямится.. :(
Вопрос, как всегда - кто виноват и что делать?
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Вс сен 06, 2009 21:05 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Какая у Вас версия прошивки?
Вернуться наверх
 Профиль  
 
KovAl59
 Заголовок сообщения:
СообщениеДобавлено: Вс сен 06, 2009 21:17 
Не в сети

Зарегистрирован: Ср июл 29, 2009 13:26
Сообщений: 544
Откуда: Фурманов
Demin Ivan писал(а):
Какая у Вас версия прошивки?

Код:
sh sw
Device Type         : DGS-3100 Gigabit Ethernet Switch
...skip...
Boot PROM Version   : 1.0.0.04
Firmware Version    : 2.00.47
Hardware Version    : 00.01.04

Если не ошибаюсь, 2.00.47.
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Вс сен 06, 2009 21:22 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Попробуйте пожалуйста прошивку которую я Вам выслал.
Вернуться наверх
 Профиль  
 
KovAl59
 Заголовок сообщения:
СообщениеДобавлено: Вс сен 06, 2009 22:10 
Не в сети

Зарегистрирован: Ср июл 29, 2009 13:26
Сообщений: 544
Откуда: Фурманов
Demin Ivan писал(а):
Попробуйте пожалуйста прошивку которую я Вам выслал.

За прошивку спасибо! Залил, ребутнул, но... Не полегчало... :(
Код:
sh sw
Device Type         : DGS-3100-24TG  Gigabit stackable L2 Managed Switch
..skip..
Boot PROM Version   : 1.0.0.04
Firmware Version    : 3.00.42
Hardware Version    : 04
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения:
СообщениеДобавлено: Пн сен 07, 2009 10:33 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
При указанных Вами правилах ARP-ответы от клиента на 8 порту будут блокироваться. Попробуйте примерно так:

Код:
create access_profile profile_id 1 ethernet destination_mac ff-ff-ff-ff-ff-ff ethernet_type
config access_profile profile_id 1 add access_id auto_assign ethernet destination_mac ff-ff-ff-ff-ff-ff ethernet_type 806 ports 1:8 permit

create access_profile profile_id 2 ip source_ip_mask 255.255.255.255
config access_profile profile_id 2 add access_id auto_assign ip source_ip 192.168.110.83 ports 1:8 permit

create access_profile profile_id 3 ip tcp dst_port_mask ffff source_ip_mask 255.255.255.255 destination_ip_mask 255.255.255.255
config access_profile profile_id 3 add access_id auto_assign ip tcp dst_port 5190 source_ip 192.168.110.82 destination_ip 192.168.3.3 ports 1:8 permit

create access_profile profile_id 5 ethernet source_mac ff-ff-ff-ff-ff-ff ethernet_type
config access_profile profile_id 5 add access_id auto_assign ethernet source_mac 00-12-34-56-78-90 ethernet_type 806 ports 1:8 permit

create access_profile profile_id 15 ethernet destination_mac 00-00-00-00-00-00
config access_profile profile_id 15 add access_id auto_assign ethernet destination_mac 00-00-00-00-00-00 ports 1:8 deny

где в пятом профиле указан MAC клиента на 8-ом порту.
Вернуться наверх
 Профиль  
 
KovAl59
 Заголовок сообщения:
СообщениеДобавлено: Пн сен 07, 2009 11:05 
Не в сети

Зарегистрирован: Ср июл 29, 2009 13:26
Сообщений: 544
Откуда: Фурманов
Denis Evgraphov писал(а):
При указанных Вами правилах ARP-ответы от клиента на 8 порту будут блокироваться. Попробуйте примерно так:

Код:
create access_profile profile_id 1 ethernet destination_mac ff-ff-ff-ff-ff-ff ethernet_type
config access_profile profile_id 1 add access_id auto_assign ethernet destination_mac ff-ff-ff-ff-ff-ff ethernet_type 806 ports 1:8 permit

create access_profile profile_id 2 ip source_ip_mask 255.255.255.255
config access_profile profile_id 2 add access_id auto_assign ip source_ip 192.168.110.83 ports 1:8 permit

create access_profile profile_id 3 ip tcp dst_port_mask ffff source_ip_mask 255.255.255.255 destination_ip_mask 255.255.255.255
config access_profile profile_id 3 add access_id auto_assign ip tcp dst_port 5190 source_ip 192.168.110.82 destination_ip 192.168.3.3 ports 1:8 permit

create access_profile profile_id 5 ethernet source_mac ff-ff-ff-ff-ff-ff ethernet_type
config access_profile profile_id 5 add access_id auto_assign ethernet source_mac 00-12-34-56-78-90 ethernet_type 806 ports 1:8 permit

create access_profile profile_id 15 ethernet destination_mac 00-00-00-00-00-00
config access_profile profile_id 15 add access_id auto_assign ethernet destination_mac 00-00-00-00-00-00 ports 1:8 deny

где в пятом профиле указан MAC клиента на 8-ом порту.

Попробую.. А по-другому, без src mac никак не обойтись? Уж очень не хотелось бы с этим заморачиваться..
P.S. И почему на DES 3526 "моя" конструкция работает? Где трабл - на 3100, или 3526? Или у 3100 "логика" обработки ACL другая?
P.P.S Может у меня вообще неверно составлен ACL в соответствии с задачей?
Задача такая:
1. машине с IP 192.168.110.83 разрешить все
2. остальным машинам этой подсети, только ARP и кое-что из др. сервисов (например icq и пр.)
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения:
СообщениеДобавлено: Пн сен 07, 2009 11:34 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
На DES-3526 принципы те же, и на тестовом стенде поведение при такого рода правилах аналогичное. Попробуйте, пожалуйста, предложенный мной вариант и отпишитесь о результатах. Что касается правил, то при их создании удобней всего посмотреть сниффером какой тип трафика проходит через коммутатор и соответственно определиться какой проходить должен, а какой нет.
Вернуться наверх
 Профиль  
 
KovAl59
 Заголовок сообщения:
СообщениеДобавлено: Пн сен 07, 2009 12:08 
Не в сети

Зарегистрирован: Ср июл 29, 2009 13:26
Сообщений: 544
Откуда: Фурманов
Denis Evgraphov писал(а):
На DES-3526 принципы те же, и на тестовом стенде поведение при такого рода правилах аналогичное. Попробуйте, пожалуйста, предложенный мной вариант и отпишитесь о результатах. Что касается правил, то при их создании удобней всего посмотреть сниффером какой тип трафика проходит через коммутатор и соответственно определиться какой проходить должен, а какой нет.

Ваш вариант проверил - все ОК, спасибо. Но как уже и говорил выше, не хотелось бы заморачиваться с пропиской разрешенных МАС-ов.. Подсеть не особо большая (62 IP), но МАС-и могут меняться (в отличие от IP), поэтому при смене клиентского компьютера придется кроме правки МАС в конфиге dhcp, лезть еще раз в коммутатор и править там.. Либо сочинять доп. скрипт. который это будет делать. Оно (добавить МАС в связку), конечно, правильнее и надежнее, но честное слово, лишнее для моих задач..
Ну а что должно ходить через коммутатор я уже отписал.
Цитата:
Задача такая:
1. машине с IP 192.168.110.83 разрешить все
2. остальным машинам этой подсети, только ARP и кое-что из др. сервисов (например icq и пр.)

Т.е. от др. машин подсети блокировать все, кроме ARP и разрешенных сервисов (только IP - tcp к локальным (конкретные IP) icq и www, udp к dhcp, icmp на шлюз, gre к NAS-у; никаких др. типов трафика не надо).
Еще раз повторюсь - на 3526 "мой" вариант почему-то работает, как задумано, а вот на 3100 без вашего профайла блокируется все..
Я правильно Вас понял, что
Denis Evgraphov писал(а):
На DES-3526 принципы те же, и на тестовом стенде поведение при такого рода правилах аналогичное.
с "моими" правилами у Вас также блокирует все?
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения:
СообщениеДобавлено: Пн сен 07, 2009 12:42 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Собственно, тогда можно разрешить ethernet_type 806 для всех, а не для конкретных маков. Да, на DES-3526 конструкция работает аналогично.
Вернуться наверх
 Профиль  
 
KovAl59
 Заголовок сообщения:
СообщениеДобавлено: Пн сен 07, 2009 17:38 
Не в сети

Зарегистрирован: Ср июл 29, 2009 13:26
Сообщений: 544
Откуда: Фурманов
Denis Evgraphov писал(а):
Собственно, тогда можно разрешить ethernet_type 806 для всех, а не для конкретных маков. Да, на DES-3526 конструкция работает аналогично.

А не подскажете, как это правильно осуществить?
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Пн сен 07, 2009 22:40 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
create access_profile profile_id 5 ethernet ethernet_type
config access_profile profile_id 5 add access_id auto_assign ethernet ethernet_type 806 ports 1:8 permit
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 12 ] 

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 40

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB