D-Link • Просмотр темы - Одновременное использование IMPB и ACL на коммутаторах 3526

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Одновременное использование IMPB и ACL на коммутаторах 3526

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 1

[ Сообщений: 9 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

Nicola

Заголовок сообщения: Одновременное использование IMPB и ACL на коммутаторах 3526

Добавлено: Вт янв 19, 2010 22:50

Зарегистрирован: Пн ноя 24, 2008 23:49
Сообщений: 21

Итак, вопрос следующий: как заставить одновременно работать функции impb(acl strict) и acl(pcf/ip) на des-3526? Из FAQа следует, что правила в таблице ацл обрабатываются в порядке размещения. Кроме того, там же указано, что правила проходятся до первого совпадения. Причем, если это совпадение дает deny, то пакет дропается, если permit - разрешается, и дальнейшие правила не просматриваются. Исходя из этого получается, что если мне надо некоторые пакеты обработать минуя систему impb, то требуется профили с этими правилами добавить до профилей impb. Это в теории. Что имеем на практике.
Стоит задача - разрешить диапазон ip адресов, минуя impb. Для этого, сначала отключается impb, затем создается профиль acl ip src mask 225.255.255.128, затем в профиле создается правило, разрешающее ip src 192.168.127.0. Итого, должны получить диапазон 192.168.127.0/25. Для проверки корректности правила, делаем его для начала запрещающим и убеждаемся, что трафик блочится. Возвращаем правило обратно на разрешающее, трафик появляется. Включаем impb, и, о чудо, трафик снова блочится нафиг. Далее методом различных тыков убеждаемся, что коммутатор плевать хотел на то, что написано в ФАКе, и прогоняет пакеты через impb в любом случае, если только они до этого не встретили deny acl. Т.е. по факту получается, что пакет все же проходит acl 2 раза - сначала обычные ацл, затем, если не дропнут, impb acl.
Вопрос: можно ли все-таки заставить работать параллельно функционал ацл и привязки ip-mac?
На всякий случай риведу вырезки из конфига:

Код:

# ACL

create access_profile packet_content_mask offset_0-15  0x0  0x0  0x0  0x0 profile_id 1 

create access_profile ip udp dst_port_mask 0xFFFF profile_id 2 
config access_profile profile_id 2 add access_id 1 ip udp dst_port 68 port 1 deny 
config access_profile profile_id 2 add access_id 2 ip udp dst_port 68 port 2 deny 
config access_profile profile_id 2 add access_id 3 ip udp dst_port 68 port 3 deny 
config access_profile profile_id 2 add access_id 4 ip udp dst_port 68 port 4 deny 
config access_profile profile_id 2 add access_id 5 ip udp dst_port 68 port 5 deny 
config access_profile profile_id 2 add access_id 6 ip udp dst_port 68 port 6 deny 
config access_profile profile_id 2 add access_id 7 ip udp dst_port 68 port 7 deny 
config access_profile profile_id 2 add access_id 8 ip udp dst_port 68 port 8 deny 
config access_profile profile_id 2 add access_id 9 ip udp dst_port 68 port 9 deny 
config access_profile profile_id 2 add access_id 10 ip udp dst_port 68 port 10 deny 
config access_profile profile_id 2 add access_id 11 ip udp dst_port 68 port 11 deny 
config access_profile profile_id 2 add access_id 12 ip udp dst_port 68 port 12 deny 
config access_profile profile_id 2 add access_id 13 ip udp dst_port 68 port 13 deny 
config access_profile profile_id 2 add access_id 14 ip udp dst_port 68 port 14 deny 
config access_profile profile_id 2 add access_id 15 ip udp dst_port 68 port 15 deny 
config access_profile profile_id 2 add access_id 16 ip udp dst_port 68 port 16 deny 
config access_profile profile_id 2 add access_id 17 ip udp dst_port 68 port 17 deny 
config access_profile profile_id 2 add access_id 18 ip udp dst_port 68 port 18 deny 
config access_profile profile_id 2 add access_id 19 ip udp dst_port 68 port 19 deny 
config access_profile profile_id 2 add access_id 20 ip udp dst_port 68 port 20 deny 
config access_profile profile_id 2 add access_id 21 ip udp dst_port 68 port 21 deny 
config access_profile profile_id 2 add access_id 22 ip udp dst_port 68 port 22 deny 
config access_profile profile_id 2 add access_id 23 ip udp dst_port 68 port 23 deny 
config access_profile profile_id 2 add access_id 24 ip udp dst_port 68 port 24 deny 

create access_profile ip udp src_port_mask 0xFFFF profile_id 3 
config access_profile profile_id 3 add access_id 1 ip udp src_port 53 port 1 deny 
config access_profile profile_id 3 add access_id 2 ip udp src_port 53 port 2 deny 
config access_profile profile_id 3 add access_id 3 ip udp src_port 53 port 3 deny 
config access_profile profile_id 3 add access_id 4 ip udp src_port 53 port 4 deny 
config access_profile profile_id 3 add access_id 5 ip udp src_port 53 port 5 deny 
config access_profile profile_id 3 add access_id 6 ip udp src_port 53 port 6 deny 
config access_profile profile_id 3 add access_id 7 ip udp src_port 53 port 7 deny 
config access_profile profile_id 3 add access_id 8 ip udp src_port 53 port 8 deny 
config access_profile profile_id 3 add access_id 9 ip udp src_port 53 port 9 deny 
config access_profile profile_id 3 add access_id 10 ip udp src_port 53 port 10 deny 
config access_profile profile_id 3 add access_id 11 ip udp src_port 53 port 11 deny 
config access_profile profile_id 3 add access_id 12 ip udp src_port 53 port 12 deny 
config access_profile profile_id 3 add access_id 13 ip udp src_port 53 port 13 deny 
config access_profile profile_id 3 add access_id 14 ip udp src_port 53 port 14 deny 
config access_profile profile_id 3 add access_id 15 ip udp src_port 53 port 15 deny 
config access_profile profile_id 3 add access_id 16 ip udp src_port 53 port 16 deny 
config access_profile profile_id 3 add access_id 17 ip udp src_port 53 port 17 deny 
config access_profile profile_id 3 add access_id 18 ip udp src_port 53 port 18 deny 
config access_profile profile_id 3 add access_id 19 ip udp src_port 53 port 19 deny 
config access_profile profile_id 3 add access_id 20 ip udp src_port 53 port 20 deny 
config access_profile profile_id 3 add access_id 21 ip udp src_port 53 port 21 deny 
config access_profile profile_id 3 add access_id 22 ip udp src_port 53 port 22 deny 
config access_profile profile_id 3 add access_id 23 ip udp src_port 53 port 23 deny 
config access_profile profile_id 3 add access_id 24 ip udp src_port 53 port 24 deny 

create access_profile ip source_ip_mask 255.255.255.128 profile_id 4 
config access_profile profile_id 4 add access_id 1 ip source_ip 192.168.127.0 port 24 permit 

# IPBIND
config address_binding ip_mac ports 1-24 state enable
config address_binding ip_mac ports 1-24 allow_zeroip enable
enable address_binding acl_mode
enable address_binding trap_log
disable address_binding dhcp_snoop
config address_binding dhcp_snoop max_entry ports 1-26 limit 5

ЗЫ. ацл impb получаются №5 и 6, т.е. идут после обыкновенных ацл.

Вернуться наверх

svsh1990

Заголовок сообщения: Re: Одновременное использование IMPB и ACL на коммутаторах 3526

Добавлено: Вт янв 19, 2010 23:13

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль

Nicola писал(а):

Исходя из этого получается, что если мне надо некоторые пакеты обработать минуя систему impb, то требуется профили с этими правилами добавить до профилей impb.

это невозможно.

Nicola писал(а):

Стоит задача - разрешить диапазон ip адресов, минуя impb.

используйте permit ip pool

_________________
LiveComm

Вернуться наверх

Nicola

Заголовок сообщения:

Добавлено: Вт янв 19, 2010 23:37

Зарегистрирован: Пн ноя 24, 2008 23:49
Сообщений: 21

Цитата:

это невозможно.

Ну супер, так и думал, что наткнусь на очередную граблю с этими длинками...

Цитата:

используйте permit ip pool

АЦЛей не хватит по 128 ип на порт навешивать...

Вернуться наверх

terrible

Заголовок сообщения:

Добавлено: Ср янв 20, 2010 09:46

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default

докупайте ещё оборудования, 128 на порт это брутально слишком

Вернуться наверх

Nicola

Заголовок сообщения:

Добавлено: Ср янв 20, 2010 13:00

Зарегистрирован: Пн ноя 24, 2008 23:49
Сообщений: 21

предлагаете по длинку на 1 пользователя ставить? пул разрешенных адресов нужен для гостевого доступа. Если клиент вставляет комп с неизвестным маком, дхцп сервер выдает ему ип из этого пула, и далее при заходе на любой сайт, клиент получает редирект на страничку с объяснениями, как зарегистрировать в сети новый комп.
Я вот только одного не пойму - зачем в ФАКе писать неверную информацию? Неужели нельзя описывать все четко и однозначно, чтоб потом не приходилось убивать несколько дней на выяснение, почему не работает?
Ну и в связи с тем, что ацл и привязка ип-мак одновременно не работают, хочу поднять вопрос, который много раз задавался здесь представителям длинка: Будет ли все-таки сделана возможность логирования пакетов при прохождении списка ацл? в режиме impb ведь свичка пишет в лог, какой ip, мак и порт не удовлетворяют привязкам, почему же этот функционал нельзя распространить и на обычные АЦЛи?

Вернуться наверх

littlesavage

Заголовок сообщения:

Добавлено: Ср янв 20, 2010 13:23

Зарегистрирован: Ср июл 16, 2008 20:32
Сообщений: 99
Откуда: Чебоксары

Nicola писал(а):

DHCP Snooping?

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Ср янв 20, 2010 14:11

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

To Nicola:

Укажите пожалуйста в личку ваш телефон.

Вернуться наверх

Nicola

Заголовок сообщения:

Добавлено: Ср янв 20, 2010 14:29

Зарегистрирован: Пн ноя 24, 2008 23:49
Сообщений: 21

littlesavage писал(а):

DHCP Snooping?

Пробовал, с 82й опцией. Получил повторный релей при включении коммутаторов цепочкой (не смотря на dhcp local relay en), а так же периодически пропадающие привязки. Кстати, тут посмотрел - оказывается, dhcp local relay есть просто ацл, дропающее дхцп запросы. Есть подозрение, что оно должно стоять первым. буду пробовать, возможно, удастся избежать повторного релея в таком случае..
to Demin Ivan:
скинул

Вернуться наверх

Magnum72

Заголовок сообщения: Re: Одновременное использование IMPB и ACL на коммутаторах 3526

Добавлено: Пт янв 22, 2010 23:40

Зарегистрирован: Пт окт 21, 2005 07:39
Сообщений: 375
Откуда: Екатеринбург

Nicola писал(а):

Как вариант создавай IMPB ACL руками, у меня так и сделано, так как потребовалось биндить только то что в дефолтном влане.

Пример:

Код:

# ACL
Профиль 1  - отвечает за маркировку мультикаста, для дальнейшей приоритезации
create access_profile ip dscp profile_id 1
config access_profile profile_id 1 add access_id 1 ip dscp 48 port 25 permit priority 5

Профиль 5  - отвечает за блокировку DHCP с портов клиентов
create access_profile ip udp src_port_mask 0xFFFF profile_id 5
config access_profile profile_id 5 add access_id 1 ip udp src_port 67 port 1 deny
--skipping--
config access_profile profile_id 5 add access_id 25 ip udp src_port 67 port 25 permit
config access_profile profile_id 5 add access_id 26 ip udp src_port 67 port 26 deny

Профиль 10 - Разрешает любым клиентам в любом состоянии доступ до личного кабинета, оффсайта.
create access_profile ip destination_ip_mask 255.255.255.224 profile_id 10
config access_profile profile_id 10 add access_id 1 ip destination_ip 10.0.0.0 port 1 permit
config access_profile profile_id 10 add access_id 2 ip destination_ip 10.0.0.0 port 2 permit
--skipping--
config access_profile profile_id 10 add access_id 25 ip destination_ip 10.0.0.0 port 26 permit

Профиль 25 - Разрешает клиентам доступ в локальную сеть в случае совпадения связки IP-MAC-Port
create access_profile packet_content_mask offset_0-15  0x0  0xFFFF  0xFFFFFFFF  0x0 offset_16-31  0x0  0x0  0x0  0xFFFF offset_32-47  0xFFFF0000  0x0  0x0  0x0 profile_id 25
config access_profile profile_id 25 add access_id 4 packet_content_mask offset_0-15  0x0  0x1E  0xEC2C6E80  0x0 offset_16-31  0x0  0x0  0x0  0xA01 offset_32-47  0xE040000  0x0  0x0  0x0 port 6 permit
--skipping--
config access_profile profile_id 25 add access_id 200 packet_content_mask offset_0-15  0x0  0x1B  0xFC6B422B  0x0 offset_16-31  0x0  0x0  0x0  0xA01 offset_32-47  0xEC80000  0x0  0x0  0x0 port 26 permit

Профиль 30 - Разрешает клиентам доступ только к BRAS в случае совпадения связки IP-MAC-Port, локальная сеть для этих клиентов недоступна
create access_profile packet_content_mask offset_0-15  0x0  0xFFFF  0xFFFFFFFF  0x0 offset_16-31  0x0  0x0  0x0  0xFFFF offset_32-47  0xFFFFFFFF  0xFFF80000  0x0  0x0 profile_id 30
config access_profile profile_id 30 add access_id 12 packet_content_mask offset_0-15  0x0  0x19  0x6687274C  0x0 offset_16-31  0x0  0x0  0x0  0xA01 offset_32-47  0xE0C0A00  0x400000  0x0  0x0 port 7 permit
--skipping--
config access_profile profile_id 30 add access_id 159 packet_content_mask offset_0-15  0x0  0x16  0xE65D5298  0x0 offset_16-31  0x0  0x0  0x0  0xA01 offset_32-47  0xE9F0A00  0x400000  0x0  0x0 port 1 permit

Профиль 35 - Для клиентов из профиля 30 дополнительно разрешен доступ до своего сегмента
create access_profile packet_content_mask offset_0-15  0x0  0xFFFF  0xFFFFFFFF  0x0 offset_16-31  0x0  0x0  0x0  0xFFFF offset_32-47  0xFFFFFFFF  0xFF000000  0x0  0x0 profile_id 35
config access_profile profile_id 35 add access_id 31 packet_content_mask offset_0-15  0x0  0x13  0xD3CD8E1C  0x0 offset_16-31  0x0  0x0  0x0  0xA01 offset_32-47  0xE1F0A01  0xE000000  0x0  0x0 port 2 permit
--skipping--
config access_profile profile_id 35 add access_id 121 packet_content_mask offset_0-15  0x0  0xE0  0x4C10CFA2  0x0 offset_16-31  0x0  0x0  0x0  0xA01 offset_32-47  0xE790A01  0xE000000  0x0  0x0 port 7 permit

Профиль 40 - запрещает все
create access_profile ip vlan profile_id 40
config access_profile profile_id 40 add access_id 1 ip vlan default port 1 deny
--skipping--
24 deny
config access_profile profile_id 40 add access_id 26 ip vlan default port 26 deny

Вернуться наверх

Страница 1 из 1

[ Сообщений: 9 ]

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 24

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения