1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Пт июл 18, 2025 11:21

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 4
  [ Сообщений: 60 ]  На страницу 1, 2, 3, 4  След.
  Предыдущая тема | Следующая тема 
Автор Сообщение
alex_ov
 Заголовок сообщения: ACL packet content на свиче DES-3200-28F
СообщениеДобавлено: Вт окт 27, 2009 23:15 
Не в сети

Зарегистрирован: Пн ноя 27, 2006 19:25
Сообщений: 265
Откуда: Крым
Доброе время суток!
Есть необходимость сделать ARP Spoofing Prevention в свиче DES-3200-28F по аналогии с тем, как это реализовано в свичах DES-3526. В веб-интерфейсе DES-3200 работа с Packet Content ACL - нечто загадочное и совершенно непонятное (что такое Offset 1(0-31) и чем он отличается от Offset 2(0-31), и что означает маска (0000) каждого Offset????). Мануалов никаких нет ни по CLI, ни по вебу.
Пожалуйста приведите пример 2-х профилей, аналогичных ARP Spoofing Prevention в DES-3526, с примером привязки скажем адреса 10.0.0.1 к MAC 00:11:22:33:44:55.
Буду просто несказанно благодарен!
Вернуться наверх
 Профиль  
 
Bigarov Ruslan
 Заголовок сообщения: Re: ACL packet content на свиче DES-3200-28F
СообщениеДобавлено: Ср окт 28, 2009 10:47 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
Manual-ы лежат тут:
ftp://ftp.dlink.ru/pub/Switch/DES-3200/Description

_________________
С уважением,
Бигаров Руслан.
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения: Re: ACL packet content на свиче DES-3200-28F
СообщениеДобавлено: Ср окт 28, 2009 11:38 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
А какая у Вас версия прошивки? В 1.20.B005 arp_spoofing_prevention есть. Запросить можно тут: http://forum.dlink.ru/viewtopic.php?t=92700
Вернуться наверх
 Профиль  
 
alex_ov
 Заголовок сообщения:
СообщениеДобавлено: Ср окт 28, 2009 11:54 
Не в сети

Зарегистрирован: Пн ноя 27, 2006 19:25
Сообщений: 265
Откуда: Крым
Прошивка 1.00.B015, была прислана по моему запросу в соответствующем топике Виктором Соловьевым 23.10.09. Я думал это последняя версия...
Денис, вышлите мне пожалуйста прошивку 1.20.B005.

Руслан, указанные Вами мануалы я конечно же смотрел. Но это на совершенно другие свичи - модульные, и ACL там вообще не упоминаются.
Вернуться наверх
 Профиль  
 
Victor Soloviev
 Заголовок сообщения:
СообщениеДобавлено: Ср окт 28, 2009 13:07 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт мар 13, 2009 12:10
Сообщений: 989
Выслал.

Мы не можем высылать вам беты, не проверив их.На тот момент это была актуальная версия прошивки.
Вернуться наверх
 Профиль  
 
alex_ov
 Заголовок сообщения:
СообщениеДобавлено: Ср окт 28, 2009 13:14 
Не в сети

Зарегистрирован: Пн ноя 27, 2006 19:25
Сообщений: 265
Откуда: Крым
Спасибо!
Вернуться наверх
 Профиль  
 
alex_ov
 Заголовок сообщения:
СообщениеДобавлено: Пт окт 30, 2009 10:19 
Не в сети

Зарегистрирован: Пн ноя 27, 2006 19:25
Сообщений: 265
Откуда: Крым
ARP_spoofing_prevention работает. Но хотелось бы получить доку с синтаксисом ACL packet content, т.к. требуется написать еще ряд фильтров.
Или подскажите пожалуйста, как реализовать на DES-3200-28F следующую аналогию из DES-3526:
Код:
#ACL

# разрешаем арп-анонсы только от IP-адресов 10.0.Х.Х
create access_profile packet_content_mask offset_16-31 0xFFFF0000 0x0 0x0 0x0 offset_32-47 0xFFFF0000 0x0 0x0 0x0 profile_id 3
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_16-31 0x8060000 0x0 0x0 0x0 offset_32-47 0xA000000 0x0 0x0 0x0 port 1-26 permit

# режем все нефрагментированные пакеты NetBIOS
create access_profile packet_content_mask offset_16-31 0xFFFF0000 0x0 0xFF0000 0x0 offset_32-47 0x0 0x0 0xFFFF0000 0x0 profile_id 4
config access_profile profile_id 4 add access_id auto_assign packet_content_mask offset_16-31 0x8000000 0x0 0x0 0x0 offset_32-47 0x0 0x0 0x870000 0x0 port 1-26 deny
config access_profile profile_id 4 add access_id auto_assign packet_content_mask offset_16-31 0x8000000 0x0 0x0 0x0 offset_32-47 0x0 0x0 0x890000 0x0 port 1-26 deny
config access_profile profile_id 4 add access_id auto_assign packet_content_mask offset_16-31 0x8000000 0x0 0x0 0x0 offset_32-47 0x0 0x0 0x8A0000 0x0 port 1-26 deny
config access_profile profile_id 4 add access_id auto_assign packet_content_mask offset_16-31 0x8000000 0x0 0x0 0x0 offset_32-47 0x0 0x0 0x8B0000 0x0 port 1-26 deny
config access_profile profile_id 4 add access_id auto_assign packet_content_mask offset_16-31 0x8000000 0x0 0x0 0x0 offset_32-47 0x0 0x0 0x1BD0000 0x0 port 1-26 deny

Буду очень благодарен!

П.С. В прошивке 1.20.B005 через веб-интерфейс packet content ACL вообще не вводятся, только профиль можно создать. Через телнет вводятся нормально.
Вернуться наверх
 Профиль  
 
alex_ov
 Заголовок сообщения:
СообщениеДобавлено: Пт окт 30, 2009 13:16 
Не в сети

Зарегистрирован: Пн ноя 27, 2006 19:25
Сообщений: 265
Откуда: Крым
Вот, методом тыка наваял так:
Код:
# ACL

create access_profile packet_content_mask offset1 l2 0 0xFFFF offset2 l2 16 0xFFFF profile_id 3
config access_profile profile_id 3 add access_id 300 packet_content offset1 0x0806 offset2 0x0a00 port 1-28 permit

create access_profile packet_content_mask offset1 l2 0 0xFFFF offset2 l2 4 0xFF offset3 l2 12 0xFFFF profile_id 4
config access_profile profile_id 4 add access_id 400 packet_content offset1 0x0800 offset2 0x0000 offset3 0x0087 port 1-28 deny
config access_profile profile_id 4 add access_id 410 packet_content offset1 0x0800 offset2 0x0000 offset3 0x0089 port 1-28 deny
config access_profile profile_id 4 add access_id 420 packet_content offset1 0x0800 offset2 0x0000 offset3 0x008a port 1-28 deny
config access_profile profile_id 4 add access_id 430 packet_content offset1 0x0800 offset2 0x0000 offset3 0x008b port 1-28 deny
config access_profile profile_id 4 add access_id 440 packet_content offset1 0x0800 offset2 0x0000 offset3 0x01bd port 1-28 deny


Вопросы:
1. Правильно ли это?
2. Как учитывать смещение влан-тэга в offset? Оно есть на всех портах не зависимо от вланов (как в 3526), или надо учитывать тэгирован порт или нет (как в 3028)?
3. Заметил в правилах ARP spoofing prevention наличие счетчиков попадания в правило. Как в консольной команде включить аналогичные счетчики для других профилей и правил packet content?
Вернуться наверх
 Профиль  
 
alex_ov
 Заголовок сообщения:
СообщениеДобавлено: Пн ноя 02, 2009 12:48 
Не в сети

Зарегистрирован: Пн ноя 27, 2006 19:25
Сообщений: 265
Откуда: Крым
Ау!!! Уважаемая техподдержка, проблема весьма актуальна! Ответьте пожалуйста на мои вопросы.
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения:
СообщениеДобавлено: Пн ноя 02, 2009 13:49 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
1. На счет первого правила, насколько я вижу, все корректно.
А второе я бы сделал так:
Код:
create access_profile packet_content_mask offset1 l2 0 0xFFFF offset2 l3 6 0x00FF offset3 l4 2 0xFFFF profile_id 4
config access_profile profile_id 4 add access_id 400 packet_content offset1 0x0800 offset2 0x0000 offset3 0x0087 port 1-28 deny
config access_profile profile_id 4 add access_id 410 packet_content offset1 0x0800 offset2 0x0000 offset3 0x0089 port 1-28 deny
config access_profile profile_id 4 add access_id 420 packet_content offset1 0x0800 offset2 0x0000 offset3 0x008a port 1-28 deny
config access_profile profile_id 4 add access_id 430 packet_content offset1 0x0800 offset2 0x0000 offset3 0x008b port 1-28 deny
config access_profile profile_id 4 add access_id 440 packet_content offset1 0x0800 offset2 0x0000 offset3 0x01bd port 1-28 deny

2. Смещение учитывается относительно l2, l3 или l4 части пакета, l2 начинается сразу после тега вилана c_tag, соответственно, правила больше не зависят от того тегирован пакет или нет.
3. Это определяется параметром counter, правда пока такой параметр можно использовать только у разрешающих правил.

P.S. по поводу невозможности создания PCF ACL через WebUI я отписал в штаб-квартиру. Как появятся новости, я сообщу Вам.
Вернуться наверх
 Профиль  
 
alex_ov
 Заголовок сообщения:
СообщениеДобавлено: Вт ноя 17, 2009 19:26 
Не в сети

Зарегистрирован: Пн ноя 27, 2006 19:25
Сообщений: 265
Откуда: Крым
PCM ACL на этом свиче - это вынос мозга какой-то.

Задача: разрешить абонентам анонсы arp только для ip сетей 10.0.0.0/16, остальное arp запретить, также запретить броадкаст.

Решение взято из аналогичных ACL из DES-3526, где они работают безукоризненно:
Код:
create access_profile packet_content_mask offset1 l2 0 0xFFFF  offset2 l2 16 0xFFFF profile_id 3
config access_profile profile_id 3 add access_id 300 packet_content   offset1 0x0806 offset2 0x0a00 port 1-26 permit
create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF  profile_id 4
config access_profile profile_id 4 add access_id 400 ethernet  destination_mac FF-FF-FF-FF-FF-FF port 1-26 deny

В итоге получаем полный запрет как броадкаста, так и анонсов ARP от абонентов. Что не так? Профиль 3 и правило 300 составлены некорректно? Тогда почему это работает в 3526?
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения:
СообщениеДобавлено: Вт ноя 17, 2009 19:33 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
На самом деле все не так сложно как кажется, ознакомьтесь, пожалуйста, с дополнительной документацией по этому вопросу на нашем сайте: http://dlink.ru/ru/faq/62/954.html
Вернуться наверх
 Профиль  
 
alex_ov
 Заголовок сообщения:
СообщениеДобавлено: Вт ноя 17, 2009 21:20 
Не в сети

Зарегистрирован: Пн ноя 27, 2006 19:25
Сообщений: 265
Откуда: Крым
Спасибо большое! Наконец-то внятная документация появилась.
Вернуться наверх
 Профиль  
 
alex_ov
 Заголовок сообщения:
СообщениеДобавлено: Ср ноя 18, 2009 10:55 
Не в сети

Зарегистрирован: Пн ноя 27, 2006 19:25
Сообщений: 265
Откуда: Крым
Мда... документация появилась, но глюков от этого меньше не стало!
ГОСПОДА ТЕХПОДДЕРЖКА! PCF ACL В DES-3200-28F НЕ РАБОТАЕТ!
Набираю ручками в CLI такой код:
Код:
create access_profile packet_content_mask destination_mac FF-FF-FF-FF-FF-FF offset1 l2 0 0xFFFF  offset2 l2 16 0xFFFF profile_id 2
config access_profile profile_id 2 add access_id 290 packet_content   destination_mac FF-FF-FF-FF-FF-FF offset1 0x0806 offset2 0x0a00 port 1-26 permit counter enable
create access_profile packet_content_mask source_mac 00-00-00-00-00-00 offset1 l2 0 0xFFFF  offset2 l2 16 0xFFFF profile_id 3
config access_profile profile_id 3 add access_id 300 packet_content   source_mac 00-00-00-00-00-00 offset1 0x0806 offset2 0x0a00 port 1-26 permit counter enable

Смотрю sh access - все красиво. Счетчики считают срабатывание правил (только бестолку!!! - все равно пакеты не проходят, их режет профиль 4 - см. мой предыдущий пост). Делаю save all, а затем reboot. Снова захожу в CLI и смотрю sh access - ОППА! профили 2 и 3 есть, а правил в них уже нету!

Неудивительно, что правильно составленные правила нихрена не работают. Но вот arp_spoofing_prevention при этом работает! Хотя правила там ТОЧНО ТАКИЕ ЖЕ! Почему? Исправляйте пожалуйста глюки!!! Нам жизненно необходим этот функционал!


Последний раз редактировалось alex_ov Вт дек 15, 2009 12:11, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
alex_ov
 Заголовок сообщения:
СообщениеДобавлено: Пт ноя 20, 2009 12:28 
Не в сети

Зарегистрирован: Пн ноя 27, 2006 19:25
Сообщений: 265
Откуда: Крым
Я так понимаю, что кроме меня эта тема никому не интересна :( .

Ладно, раз PCF ACL не работает, сделал такую стандартную конструкцию:
Код:
create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF ether_type profile_id 2
config access_profile profile_id 2 add access_id 290 ethernet destination_mac FF-FF-FF-FF-FF-FF ether_type 0x0806 port 1-26 permit counter enable
create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF profile_id 4
config access_profile profile_id 4 add access_id 400 ethernet destination_mac FF-FF-FF-FF-FF-FF port 1-26 deny

Получаем такую картинку. Примерно у одной трети работающих через этот свич абонентов периодически (раз в 20-25 минут) пропадает связь (физический линк есть, но пакеты не идут). Такое ощущение, что у абонента напрочь перестает работать ARP. Через несколько минут все восстанавливается. Восстанавливается также и в том случае, если у абонента ребутнуть интерфейс - что собственно и наводит на мысль об ARP. Стоит только удалить правило 400 - проблема исчезает.

Господа техподдержка, хочется коментариев!!! Замечательный свич, но крайне сырой софт! Когда будут обновления?
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 4
  [ Сообщений: 60 ]  На страницу 1, 2, 3, 4  След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 145

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB