D-Link • Просмотр темы - Помогите написать правило PCF для 3526

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Помогите написать правило PCF для 3526

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 2 из 7

[ Сообщений: 99 ]

На страницу Пред. 1, 2, 3, 4, 5 ... 7 След.

Предыдущая тема | Следующая тема

Автор

Сообщение

true

Заголовок сообщения:

Добавлено: Пт фев 26, 2010 10:39

Зарегистрирован: Ср сен 30, 2009 10:33
Сообщений: 76

Denis Evgraphov

Денис, мне в которой раз нужна Ваша помощь в написании acl pcf для dgs-3426.

Фильтрация аналогичная, что у остальных, за исключением того, что фильтровать мне надо в GRE.
Раньше Вы говорили, что необходимо будет указать vlanid в котором будет идти такая фильтрация. Но на dgs-3426 можно указать всего 4 чанка.
Для написания правила, в котором будут учитываться vlanid, gre, udp и сигнатура 7fff ffff ab необходимо 5 чанков.
Может все-таки выбросить упоминание о vlanid, но смещение оставить?

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Пт фев 26, 2010 11:55

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

2 true > Зачем так всё усложнять, когда можно сделать выборку по 7fff ffff ab учитывая все сдвиги!?

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Пт фев 26, 2010 11:56

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

Если не учитывать сдвиги на инкапсуляции, то для стандартного IP(UDP) трафика защита будет выглядеть так:

Для DES-3526:
create access_profile packet_content_mask offset_48-63 0x0 0x0 0xFFFF 0xFFFFFF00 profile_id 20
config access_profile profile_id 20 add access_id auto_assign packet_content_mask offset_48-63 0x0 0x0 0x7FFF 0xFFFFAB00 port 1-26 deny

Для DES-3028/3052:
tag:
create access_profile packet_content_mask offset_48-63 0x0 0x0 0xFFFF 0xFFFFFF00 profile_id 20
config access_profile profile_id 20 add access_id auto_assign packet_content offset 56 0x7FFF offset 60 0xFFFFAB00 port 1-28 deny

untag:
create access_profile packet_content_mask offset_48-63 0x0 0xFFFF 0xFFFFFF00 0x0 profile_id 30
config access_profile profile_id 30 add access_id auto_assign packet_content offset 52 0x7FFF offset 56 0xFFFFAB00 port 1-28 deny

Для DGS-36xx:
tag
create access_profile profile_id 20 packet_content_mask offset_chunk_1 15 0xffffffff offset_chunk_2 16 0xff000000
config access_profile profile_id 20 add access_id auto_assign packet_content offset_chunk_1 0x7fffffff offset_chunk_2 0xab000000 port 1-24 deny

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

true

Заголовок сообщения:

Добавлено: Пт фев 26, 2010 13:24

Зарегистрирован: Ср сен 30, 2009 10:33
Сообщений: 76

Bigarov Ruslan два пакетика:

Код:

0000  0-15  001b2155 a8290023 8b04050f 08004500
0010  16-31 005e010a 0000802f 0ba2ac10 c00bc0a8
0020  32-47 01013001 880b003e 70710000 00772145
0030  48-63 00003d01 04000080 117965d9 1b80ded9
0040  64-79 408d0c39 fdb49700 291d2922 f7005f4b
0050  80-95 87736300 0219527f ffffffab 02040001
0060  96-111 00000008 00000000 00000000

Код:

0-15   00238b04 050f001b 2155a829 08004500
16-31  0061c6b1 00003f2f 86f7c0a8 0101ac10
32-47  c00b3001 880b0041 80000000 003fff03
48-63  00214500 003d3302 00007111 2f57d973
64-79  b3e9d91b 80de4680 39fd0029 572b22b5
80-95  56d14b87 7361000b 87d47fff ffffab02
96-111 024b4a00 01000800 00000000 000000

сдвиг для 8021q в них не учтен.

и возможность написать всего лишь одно правило pcf на dgs-3426.
ограничился правилом по первому пакету учитывая все сдвиги.

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Пт фев 26, 2010 16:21

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

Лучше пришлите мне данные пакетики в cap или pcap формате для наглядности. Выборка нужна по UDP 11 и 7f ffffff(ab)?

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

true

Заголовок сообщения:

Добавлено: Пт фев 26, 2010 16:31

Зарегистрирован: Ср сен 30, 2009 10:33
Сообщений: 76

Руслан, отправил Вам на почту дамп в формате pcap.

Вернуться наверх

Andrei_V

Заголовок сообщения:

Добавлено: Сб фев 27, 2010 12:33

Зарегистрирован: Чт ноя 09, 2006 19:15
Сообщений: 105

А DGS-3100-24TG такого не умеет, т.к. он L2 ?

Вернуться наверх

Satboy

Заголовок сообщения:

Добавлено: Сб фев 27, 2010 14:53

Зарегистрирован: Ср апр 14, 2004 07:05
Сообщений: 9

коллеги, а нет ли на коммутаторе статистики по дропам?

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Сб фев 27, 2010 15:41

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

true писал(а):

Руслан, отправил Вам на почту дамп в формате pcap.

Получил, постараюсь сегодня Вам ответить.

Andrei_V писал(а):

А DGS-3100-24TG такого не умеет, т.к. он L2 ?

У данной серии нет профиля PCF.

Satboy писал(а):

коллеги, а нет ли на коммутаторе статистики по дропам?

sh error ports ...

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

pvl

Заголовок сообщения:

Добавлено: Сб фев 27, 2010 15:41

Зарегистрирован: Вт сен 18, 2007 08:57
Сообщений: 306
Откуда: SPb

>коллеги, а нет ли на коммутаторе статистики по дропам?

только если так:

Код:

#show error ports 1-24
Command: show error ports 1-24


 Port number : 6
                    RX Frames                                  TX Frames
                    ---------                                  ---------
 CRC Error          0                    Excessive Deferral    0
 Undersize          0                    CRC Error             0
 Oversize           0                    Late Collision        0
 Fragment           0                    Excessive Collision   0
 Jabber             0                    Single Collision      0
 Drop Pkts          19093499             Collision             0
 Symbol Error       0
 Buffer Full Drop   0
 ACL Drop           19069970
 Multicast Drop     171975
 VLAN Ingress Drop  0

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Сб фев 27, 2010 17:09

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

2 true >
Пример для DGS-3400:

Выборка по GRE протоколу и 7fffffffab с учётом tag 802.1q:

create access_profile profile_id 1 packet_content_mask offset_chunk_1 7 0x00FF0000 offset_chunk_2 23 0x00FFFFFF offset_chunk_3 24 0xFFFF0000

config access_profile profile_id 1 add access_id auto_assign packet_content offset_chunk_1 0x002F0000 offset_chunk_2 0x007FFFFF offset_chunk_3 0x00FFAB00 port 1-24 deny

Этот же пример подойдёт и для DGS-3600.

_________________
С уважением,
Бигаров Руслан.

Последний раз редактировалось Bigarov Ruslan Пн мар 01, 2010 10:55, всего редактировалось 1 раз.

Вернуться наверх

neom

Заголовок сообщения:

Добавлено: Сб фев 27, 2010 19:45

Зарегистрирован: Чт июн 01, 2006 12:22
Сообщений: 118

Руслан а не подскажете для 3610-26G аналогию вот этому:

create access_profile profile_id 20 packet_content_mask offset_chunk_1 15 0xffffffff offset_chunk_2 16 0xff000000
config access_profile profile_id 20 add access_id auto_assign packet_content offset_chunk_1 0x7fffffff offset_chunk_2 0xab000000 port 1-24 deny

Вернуться наверх

Andrei_V

Заголовок сообщения:

Добавлено: Сб фев 27, 2010 22:08

Зарегистрирован: Чт ноя 09, 2006 19:15
Сообщений: 105

Bigarov Ruslan писал(а):

Andrei_V писал(а):

А DGS-3100-24TG такого не умеет, т.к. он L2 ?

У данной серии нет профиля PCF.

Т.е. на DGS-3100-24TG никаких средств борьбы с этой напастью нет?

Вернуться наверх

neom

Заголовок сообщения:

Добавлено: Сб фев 27, 2010 23:57

Зарегистрирован: Чт июн 01, 2006 12:22
Сообщений: 118

Andrei_V писал(а):

Bigarov Ruslan писал(а):

Andrei_V писал(а):

А DGS-3100-24TG такого не умеет, т.к. он L2 ?

У данной серии нет профиля PCF.

Т.е. на DGS-3100-24TG никаких средств борьбы с этой напастью нет?

3100-24TG
Это железка начального уровня и никакой фильтрации там и не предполагалось, на сегодняшний день в ней даже не реализован функционал удаления дефолтового влана со всех портов, что может при неосторожности привести к серьезным проблемам типа закольцовывания по этому влану железок если линковые порты mode trunk, уже наступили на эти грабли

эта железка чисто для агрегации оптических линков и то по бедности как говорится, т.к. замечаем иногда непонятные всплески по группе портов по типу как 3028 работает при совпадении хешей мака как хаб.

Вернуться наверх

Andrei_V

Заголовок сообщения:

Добавлено: Вс фев 28, 2010 19:28

Зарегистрирован: Чт ноя 09, 2006 19:15
Сообщений: 105

neom писал(а):

на сегодняшний день в ней даже не реализован функционал удаления дефолтового влана со всех портов

Код:

! PORT
config ports description 1:1 Uplink_to_BayStack
config ports description 1:2 To_mng_server

! VLAN
create vlan mng_vlan tag 2
create vlan to_rt tag 3
config vlan mng_vlan add untagged 1:2
config vlan to_rt add untagged 1:(4,12)
config gvrp 1:2 pvid 2
config gvrp 1:(4,12) pvid 3

! BASIC IP
config ipif System ipaddress 192.168.254.3/25 vlan mng_vlan

Тут порты 4 и 12 не входят в defaul vlan. Разве нет?

Вернуться наверх

Страница 2 из 7

[ Сообщений: 99 ]

На страницу Пред. 1, 2, 3, 4, 5 ... 7 След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 88

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения