Denis Evgraphov запросил.
спасибо.

А скажите, пожалуйста, можно ли добавить в CLI уже готовые правила для PPTP, PPPoE и DHCP
Мне понравилось, как в DES-3526 одним правилом можно запретить netbios и т.п.
Сделать что-то подобное
add filter pptp [входящие порты] [исходящий порт]
add filter pppoe [входящие порты] [исходящий порт]
add filter dhcp [входящие порты] [исходящий порт]

В более новых сериях есть DHCP Server Screening например, т.е. автоматизация создания ACL для блокировки поддельных DHCP-серверов на клиентских портах. По остальном к сожалению не всегда возможны типовые правила, сильно зависит от инкапсуляции. А вообще я сторонник написания их всех руками поскольку так надёжнее и гибче.

Добрый день. Чтобы не плодить новые темы, напишу здесь
Имеется сеть на абонентских 3526, изредка разбавленных 3028, где необходимо развести гигабит более, чем в одну сторону.
Удалённый доступ осуществляется через РРРоЕ. Правило ACL для запрещения чужеродных РРРоЕ сервисов на 3526 пишется на ура. Но 3028 оно не подходит - то ли синтаксис иной, то ли я что-то неверно делаю. Правило должно работать на абонентских портах (1-24) Просьба уточнить, где ошибка:
create access_profile packet_content_mask offset_16-31 0xffffffff 0x0 0x0 0x0 profile_id 3
config access_profile profile_id 3 add access_id 100 packet_content_mask offset_16-31 0x88631107 0x0 0x0 0x0 port 1-24 deny

Заранее спасибо

на 3526 весь трафик всегда тегерированный, на 3028 - на клиентских портах он нетегерированный, соответственно учитываейте это смещение на PCF.

порядок правил играет роль на des-35xx?

конечно играет. свитч обрабатывает их по порядку до первого совпадения.

_________________
LiveComm

понял, спасибо.
буду дальше разбираться, в чем причина того, что не получается в gre на 35хх резать определенный трафик

PS для dgs-3426 данный мануал подойдет для написание acl типа pcf?
необходимо ли в dgs-3426 учитывать vid для написания acl типа pcf?

Для DGS-3426 данная документация должна подойти и смещение в четыре байта для тегированного трафика также необходимо учитывать.
И не забывайте, что проверка профилей и правил осуществляется с наименьшего id (считаемого более приоритетным) до первого совпадения, поэтому проверьте очередность применения профилей и правил и посмотрите нет ли у Вас, например, более приоритетных разрешающих правил, под которые попадает трафик, который Вы хотите заблокировать.

друзья, все равно не понимаю в чем причина проблемы...
сеть звезда. в ядре дгс-3426, в узлах агрегации либо 3526, либо дгс-3100. на доступе дес-35хх. + пара nas с pptp, подключенных к ядру.


сейчас к дгс-3426 подключил дес-3526, поднял на нем пользовательский vlan 1020: 25 порт с тегом, 8 порт без тега.
на дгс-3426 этот же vlan 1020 c тегом поднят на портах, к которым подключены des-3526 и nas с pptp.
acl на тестовом des-3526 нет.
вешаю первым правило:

create access_profile packet_content_mask offset_0-15 0x0 0x0 0x0 0x00000fff offset_16-31 0x0 0x0 0x000000ff 0x0 offset_64-79 0x0 0x0 0x0 0xffff0000 profile_id 1

config access_profile profile_id 1 add access_id 1 packet_content_mask offset_0-15 0x0 0x0 0x0 0x000003fc offset_16-31 0x0 0x0 0x0000002f 0x0 offset_64-79 0x0 0x0 0x0 0x00500000 port 8 deny

подключаюсь ноутом с winxp к 8-му порту, поднимаю pptp и удачно захожу на яндекс, точнее неудачно.

попробовал повесить такое правило, предварительно удалив предыдущее:

config access_profile profile_id 1 add access_id 1 packet_content_mask offset_0-15 0x0 0x0 0x0 0x000003fc offset_16-31 0x0 0x0 0x0000002f 0x0 offset_64-79 0x0 0x0 0x0 0x00500000 port 25 deny

эффект аналогичен.

может этот offset_0-15 в правиле стоит поменять на offset_0-15 0x0 0x0 0x0 0x0000ffff ?

Поймайте, пожалуйста, анализируемый пакетик сниффером, например, Wireshark и пришлите мне на почту в формате PCAP.

Денис, мне на сервере доступа пакет ловить через tshark или сделать зеркало порта и нем послушать входящий трафик?

С пользовательской машины (ноутбука), чтобы посмотреть какого вида пакетик приходит у Вас в 8 порт коммутатора.

Денис, отправил Вам на почту пакет.

Я Вам ответил, по результатам не забудьте отписать мне на почту.