теме UP ))

Вопрос актуален - поставить в сеть 3528 не можем т.к. через SNMP не знаем как создавать ACL packet content...с этими хитрыми чанками..

Я Вам описание параметров выслал.

К Вам почему-то почта не доходит.

неправильный был ящик в профиле. Поправил. Вышлите пожалуйста еще раз..

К сожалению подтвердилось что на данном свитче
Cannot create more than one packet content profile

Отсюда вытекают дикие сложности при попытках замены данным свитчем старого доброго 3526.

Для правильной привязки IP абонента к порту и исключения ARP флуда необходимо в одном правиле контролировать связку MAC+IP абонента для IP и ARP пакетов.
Очень обидно - вроде свитч считается Next Generation на доступ - а функционал урезали в плане ACL ((

А так было бы красиво:
create access_profile profile_id 7 profile_name bind_mac_ip_ip packet_content_mask offset_chunk_1 2 0xFFFFFFFF offset_chunk_2 3 0xFFFFFFFF offset_chunk_3 7 0xFFFFFFFF
create access_profile profile_id 8 profile_name bind_mac_ip_arp packet_content_mask offset_chunk_1 2 0xFFFFFFFF offset_chunk_2 3 0xFFFFFFFF offset_chunk_3 7 0x0000FFFF offset_chunk_4 8 0xFFFF0000

Выслал. По поводу профилей согласен, попробуем запросить расширение если возможно, но в целом ACL стали более продвинутыми, взять хотя бы кол-во профилей и механизм назначения на порты.

К сожалению расширение невозможно. Аппаратно этот коммутатор поддерживает 2 пакет контент профиля, один доступен для конфигурирования, второй зарезервирован под Apr Spoofing Prevention, MLD snooping, DHCP Server Screen, NetBIOS Filtering

Не подскажете где можно найти русский мануал на DES-3828.
Заранее спасибо.

Если на ftp нет, значит нигде.

_________________
LiveComm

Не могу попасть на FTP можно ссылочку???

Именно для этой серии манула нет. Но по основным функциям можно воспользоваться мануалом к DES-3526. Он лежит здесь ftp://ftp.dlink.ru/pub/Switch/DES-3526_ ... manual_R5/

А не подскажете можно ли решить на 3528 такую задачу:

пометить PPPoE трафик ( ETHER_TYPE 0x8864) с тем, чтобы поднять ему приоритет, запретить PADO и определённый arp-ответ c клиентских портов.

на 3526 это выгладит как-то так:

#pppoe PADO deny
create access_profile packet_content_mask offset_16-31 0xFFFF00FF 0x0 0x0 0x0 profile_id 11
config access_profile profile_id 11 add access_id 100 packet_content_mask offset_16-31 0x88630007 0x0 0x0 0x0 port 1-24 deny

#PPPoE data priority
create access_profile packet_content_mask offset_16-31 0xFFFF00FF 0x0 0x0 0x0 profile_id 150
config access_profile profile_id 150 add access_id 100 packet_content_mask offset_16-31 0x88640000 0x0 0x0 0x0 port 1-26 permit priority 4

#arp XXXXXXX
create access_profile packet_content_mask offset_16-31 0xFFFF0000 0x0 0x0 0x0 offset_32-47 0xFFFFFFFF 0x0 0x0 0x0 profile_id 12
config access_profile profile_id 12 add access_id 1 packet_content_mask offset_16-31 0x8060000 0x0 0x0 0x0 offset_32-47 0xXXXXXXX 0x0 0x0 0x0 port 1-25 deny

Просто по типу 8863 фильтровать нельзя, на 28-м packet_content_mask один.... Может есть другие варианты?

Можно, только синтаксис PCF на DES-3528 другой.

_________________
С уважением,
Бигаров Руслан.

Я просто к тому что профиль один на свич.
Если скажем данные PPPoE сессии можно выделить по ethernet-type, то PADO от PADI так не отличить.

При этом хотелось бы защититься от кривых ручек вбивающих себе в качестве ip-адреса ip-интерфейс роутера.

Я не понял как это сделать одновременно

Workaround на DES-3528:

#pppoe PADO deny

Решение: использовать 802.1v

#PPPoE data priority

Решение: пакетики 0x8864 приоритизировать через Ethernet профиль

#arp XXXXXXX

Решение: Использовать PCF профиль.

_________________
С уважением,
Бигаров Руслан.

Актуален ли данный пример для 3528 или записи портов в обычном виде он не понимает?

Блокировка SMB трафика с помощью стандартных средств ACL:
 
1. Фильтрация TCP потров 135, 137, 138, 139, 445.
Команды CLI:
create access_profile ip tcp dst_port_mask 0xFFFF deny profile_id 30
config access_profile profile_id 30 add access_id auto_assign ip tcp dst_port 135 port 1-24 deny
config access_profile profile_id 30 add access_id auto_assign ip tcp dst_port 139 port 1-24 deny
config access_profile profile_id 30 add access_id auto_assign ip tcp dst_port 139 port 1-24 deny
config access_profile profile_id 30 add access_id auto_assign ip tcp dst_port 139 port 1-24 deny
config access_profile profile_id 30 add access_id auto_assign ip tcp dst_port 445 port 1-24 deny
 
2. Фильтрация UDP портов 135, 137, 138, 139, 445
Команды CLI:
create access_profile ip udp dst_port_mask 0xFFFF deny profile_id 40
config access_profile profile_id 40 add access_id auto_assign ip udp dst_port 135 port 1-24 deny
config access_profile profile_id 40 add access_id auto_assign ip udp dst_port 137 port 1-24 deny
config access_profile profile_id 40 add access_id auto_assign ip udp dst_port 138 port 1-24 deny
config access_profile profile_id 40 add access_id auto_assign ip udp dst_port 139 port 1-24 deny
config access_profile profile_id 40 add access_id auto_assign ip udp dst_port 445 port 1-24 deny