faq обучение настройка
Текущее время: Вс июл 20, 2025 06:29

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 99 ]  На страницу Пред.  1, 2, 3, 4, 5, 6, 7  След.
Автор Сообщение
 Заголовок сообщения:
СообщениеДобавлено: Вс фев 28, 2010 19:51 
Не в сети

Зарегистрирован: Пн окт 19, 2009 13:59
Сообщений: 26
Для 3028 с pptp ничего уже сделать нельзя?
Код:
00    00151760 ab9500e0 4c157a46 xxxxxxxx
10    08004500 005e39de 0000802f a71bac10
30    22cb2145 00003d39 d7000080 11c2ccac
50    a74b134b 8a82b600 047d487f fffffffa


По идеи правила выходят за зону видимости:
Код:
create access_profile packet_content_mask offset_16-31 0x0 0x0 0x000000ff 0x0 offset_48-63 0x0 0x0 0x0 0xff000000 offset_80-95 0x0 0x0 0x000000ff 0xfffffff profile_id 5

config access_profile profile_id 5 add access_id 1 packet_content_mask offset_16-31 0x0 0x0 0x0000002f 0x0 offset_48-63 0x0 0x0 0x0 0x11000000 offset_80-95 0x0 0x0 0x0000007f 0xfffffffa port 1-24 deny


Или я ошибся?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вс фев 28, 2010 22:35 
Не в сети

Зарегистрирован: Чт июн 01, 2006 12:22
Сообщений: 118
Andrei_V писал(а):
neom писал(а):
на сегодняшний день в ней даже не реализован функционал удаления дефолтового влана со всех портов


Код:
! PORT
config ports description 1:1 Uplink_to_BayStack
config ports description 1:2 To_mng_server

! VLAN
create vlan mng_vlan tag 2
create vlan to_rt tag 3
config vlan mng_vlan add untagged 1:2
config vlan to_rt add untagged 1:(4,12)
config gvrp 1:2 pvid 2
config gvrp 1:(4,12) pvid 3

! BASIC IP
config ipif System ipaddress 192.168.254.3/25 vlan mng_vlan


Тут порты 4 и 12 не входят в defaul vlan. Разве нет?


А разве я писал про аксесс порты :) разве не так?
моя цитата: если линковые порты mode trunk

а теперь внимание фокус делаем
config vlan to_rt add tagged 1:(4,12)
и чудесным образом в конфиге добавится вот такое
config vlan default add tagged 1:(4,12)
хотя этого мы не писали :)

P.S. если юзаются нетегированные порты то глубоко до лампочки в каком они влане :) разве не так?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн мар 01, 2010 06:30 
Не в сети

Зарегистрирован: Чт ноя 09, 2006 19:15
Сообщений: 105
Цитата:
если юзаются нетегированные порты то глубоко до лампочки в каком они влане Smile разве не так?

Честно скажу - не знаю. А в чем тогда смысл нетегированных вланов?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн мар 01, 2010 10:40 
Не в сети

Зарегистрирован: Чт июн 01, 2006 12:22
Сообщений: 118
Andrei_V писал(а):
Цитата:
если юзаются нетегированные порты то глубоко до лампочки в каком они влане Smile разве не так?

Честно скажу - не знаю. А в чем тогда смысл нетегированных вланов?


Здрасте приехали, не все оборудование понимает 802.1q да и просто любой юзерский ПК работает без тегов, в таком случае если у вас сетка побита на сегменты вланами то надо же их отделять на магистралях, поэтому делаем транковые порты между такими железками и там гоняем тегированные пакеты, а уже на конечных комутаторах разбираем кому и куда этот пакет уйдет.
Так вот мы один раз наступили на такую граблю когда включили каталист 3500 старенький и 3100-24 между ними как раз и был транк, и ввиду того что на 3100-24 дефолтовый влан поумолчанию присутствует в транковых портах, а на стареньком каталисте толи забыли убрать 1влан толи он тоже как-то подсовывает его в транковые порты и получили кольцо по этому влану между железками, уже невспомню почему но у них был линк между собой еще через какую-то железку, вобщем весело было хорошо что сразу дошло в чем дело, поэтому 3100-24 сейчас юзаем на чистую тупую агрегацию в него включены 3526 и т.п. с уровня доступа.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн мар 01, 2010 10:42 
Не в сети

Зарегистрирован: Чт июн 01, 2006 12:22
Сообщений: 118
Прошу помочь с построением фильтра:

подскажете для 3610-26G аналогию вот этому:

create access_profile profile_id 20 packet_content_mask offset_chunk_1 15 0xffffffff offset_chunk_2 16 0xff000000
config access_profile profile_id 20 add access_id auto_assign packet_content offset_chunk_1 0x7fffffff offset_chunk_2 0xab000000 port 1-24 deny


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн мар 01, 2010 10:59 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
В PCF на DGS-3610-26G я не силён, нужно manual покурить, посмотрю сегодня.

_________________
С уважением,
Бигаров Руслан.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн мар 01, 2010 12:31 
Не в сети

Зарегистрирован: Чт ноя 09, 2006 19:15
Сообщений: 105
neom писал(а):
Здрасте приехали, не все оборудование понимает 802.1q да и просто любой юзерский ПК работает без тегов, в таком случае если у вас сетка побита на сегменты вланами то надо же их отделять на магистралях, поэтому делаем транковые порты между такими железками и там гоняем тегированные пакеты, а уже на конечных комутаторах разбираем кому и куда этот пакет уйдет.
....
3100-24 сейчас юзаем на чистую тупую агрегацию в него включены 3526 и т.п. с уровня доступа.

Собственно аналогично - используем только для агрегации: на него приходят гигабитные оптические линки от микрорайонов (там стоят ОЧЕНЬ бюджетные управляемые свичи Planet WGSD-1020), и через медный порт уходит на Nortel BayStack 450, в который включены сервера и циски, терминирующие pptp и роутящие это в инет.
Но у меня сейчас все оптические порты 3100-24 в одном влане, в нем же и тот медный порт 3100-24, который уходит на Nortel BayStack 450. (все нетегированное, Aggregate_link между 3100-24 и Nortel BayStack 450 пока не использую - хватает 100 мбит), но чую, что все это коряво. А как переделать - пока не знаю.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт мар 02, 2010 00:38 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Укажите пожалуйста в личку Ваш телефон.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт мар 02, 2010 11:59 
Не в сети

Зарегистрирован: Пт дек 12, 2008 15:55
Сообщений: 7
а для 3828 правила? :)

можно с пппое, пптп
а можно и без

и тот и другой трафик ходит в разных вланах в нем.


пакетики:


Код:
        0x0000:  4520 003d 4bd4 0000 7611 b738 5ed9 451c  E..=K...v..8^.E.
        0x0010:  5fa7 3de7 058f 8690 0029 317a d907 eaf5  _.=......)1z....
        0x0020:  4b8d 0491 000c b454 7fff ffff ab02 0400  K......T........
        0x0030:  0100 0000 0800 0000 0000 0000 00         .............


Последний раз редактировалось Stepan_T Вт мар 02, 2010 15:31, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт мар 02, 2010 13:08 
Не в сети

Зарегистрирован: Вт июн 01, 2004 14:51
Сообщений: 24
Bigarov Ruslan писал(а):
2 true >
Пример для DGS-3400:

Выборка по GRE протоколу и 7fffffffab с учётом tag 802.1q:

create access_profile profile_id 1 packet_content_mask offset_chunk_1 7 0x00FF0000 offset_chunk_2 23 0x00FFFFFF offset_chunk_3 24 0xFFFF0000

config access_profile profile_id 1 add access_id auto_assign packet_content offset_chunk_1 0x002F0000 offset_chunk_2 0x007FFFFF offset_chunk_3 0x00FFAB00 port 1-24 deny

Этот же пример подойдёт и для DGS-3600.

Создал правило один в один, но сначала как permit чтобы можно было включить счетчики и посмотреть, ловится или нет трафик.
По вышеуказанному примеру , по-моему не ловится (как раз pptp на тегированных портах)
Код:
DGS-3627G:5#show access_profile profile_id 2
Command: show access_profile profile_id 2

Access Profile Table

Total Unused Rule Entries:127
Total Used Rule Entries  :1


Access Profile ID: 2                                      Type : Packet Content
================================================================================
Owner       : ACL
MASK Option :
offset_chunk_1 : 7      value : 0x00FF0000
offset_chunk_2 : 23     value : 0x00FFFFFF
offset_chunk_3 : 24     value : 0xFFFF0000

Access ID : 2              Mode: Permit               RX Rate(64Kbps): no_limit
Ports: 1-24
Total Matched Counter:0
offset_chunk_1 : 7      value : 0x002F0000
offset_chunk_2 : 23     value : 0x007FFFFF
offset_chunk_3 : 24     value : 0x00FF0000
================================================================================
Unused Entries: 127


а вот с такими правилами
create access_profile profile_id 2 packet_content_mask offset_chunk_1 9 0xFFFF offset_chunk_2 14 0xFF00 offset_chunk_3 22 0xFFFFFF offset_chunk_4 23 0xFFFF0000
config access_profile profile_id 2 add access_id 1 packet_content offset_chunk_1 0x880B offset_chunk_2 0x1100 offset_chunk_3 0x7FFFFF offset_chunk_4 0xFFAB0000 port 1-24 [permit counter enable | deny ]

Код:
DGS-3627G:5#show access_profile profile_id 2
Command: show access_profile profile_id 2

Access Profile Table

Total Unused Rule Entries:127
Total Used Rule Entries  :1


Access Profile ID: 2                                      Type : Packet Content
================================================================================
Owner       : ACL
MASK Option :
offset_chunk_1 : 9      value : 0x0000FFFF
offset_chunk_2 : 14     value : 0x0000FF00
offset_chunk_3 : 22     value : 0x00FFFFFF
offset_chunk_4 : 23     value : 0xFFFF0000

Access ID : 1              Mode: Permit               RX Rate(64Kbps): no_limit
Ports: 1-24
Total Matched Counter:1670
offset_chunk_1 : 9      value : 0x0000880B
offset_chunk_2 : 14     value : 0x00001100
offset_chunk_3 : 22     value : 0x007FFFFF
offset_chunk_4 : 23     value : 0xFFAB0000
================================================================================
Unused Entries: 127

счетчик начал крутиться... (здесь используется protocol type: PPP 0x880b UDP = 0x11 и сигнатура 7f ff ff ff ab)
Более того - у 3627 это зависит от прошивки
2.50b15 2.51b23 - счетчик не крутится
2.52b45 (выше в примере) - счетчик крутится
2.55b05 - счетчик снова не крутится
Народ, можете подтвердить или опровергнуть?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт мар 02, 2010 16:51 
Не в сети

Зарегистрирован: Ср сен 30, 2009 10:33
Сообщений: 76
2 ibz
сам написал подобное правило для dgs-3426:
Код:
create access_profile profile_id 1 packet_content_mask offset_chunk_1 7 0x00FF0000 offset_chunk_2 15 0x0000FF00 offset_chunk_3 23 0x00FFFFFF offset_chunk_4 24 0xFFFF0000

config access_profile profile_id 1 add access_id auto_assign packet_content offset_chunk_1 0x2F000000 offset_chunk_2 0x11000000  offset_chunk_3 0x007FFFFF offset_chunk_4 0x00FFAB00 port 1-24 deny


Руслан Бигаров позже в письме прислал исправленные правила относительно своего первого поста для dgs-3426:

Код:
create access_profile profile_id 1 packet_content_mask offset_chunk_1 7 0x00FF0000 offset_chunk_2 23 0x00FFFFFF offset_chunk_3 24 0xFFFF0000

config access_profile profile_id 1 add access_id auto_assign packet_content offset_chunk_1 0x002F0000 offset_chunk_2 0x007FFFFF offset_chunk_3 0x00FFAB00 port 1-24 deny


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт мар 02, 2010 17:50 
Не в сети

Зарегистрирован: Вт июн 01, 2004 14:51
Сообщений: 24
true писал(а):
2 ibz

Руслан Бигаров позже в письме прислал исправленные правила относительно своего первого поста для dgs-3426:

Код:
create access_profile profile_id 1 packet_content_mask offset_chunk_1 7 0x00FF0000 offset_chunk_2 23 0x00FFFFFF offset_chunk_3 24 0xFFFF0000

config access_profile profile_id 1 add access_id auto_assign packet_content offset_chunk_1 0x002F0000 offset_chunk_2 0x007FFFFF offset_chunk_3 0x00FFAB00 port 1-24 deny


тоже мало что поймалось
Код:
DGS-3627G:5#show access_profile profile_id 2
Command: show access_profile profile_id 2

Access Profile Table

Total Unused Rule Entries:127
Total Used Rule Entries  :1


Access Profile ID: 2                                      Type : Packet Content
================================================================================
Owner       : ACL
MASK Option :
offset_chunk_1 : 7      value : 0x00FF0000
offset_chunk_2 : 23     value : 0x00FFFFFF
offset_chunk_3 : 24     value : 0xFFFF0000

Access ID : 1              Mode: Permit               RX Rate(64Kbps): no_limit
Ports: 1-24
Total Matched Counter:0
offset_chunk_1 : 7      value : 0x002F0000
offset_chunk_2 : 23     value : 0x007FFFFF
offset_chunk_3 : 24     value : 0x00FF0000
================================================================================
Unused Entries: 127


Никто не рисовал правило для 72xx ?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт мар 02, 2010 20:18 
Не в сети

Зарегистрирован: Вт июн 01, 2004 14:51
Сообщений: 24
ОТРЕДАКТИРОВАНО
На боевой 72xx правило оказалось нерабочим. Не используйте его!
сообщение ниже оставлено для истории - считать недействительным! :)
ibz писал(а):
ibz писал(а):
Никто не рисовал правило для 72xx ?


У меня получилось такое правило

Код:
expert access-list advanced uTP
 100 deny 11 FF 35 7FFFFFFFAB FFFFFFFFFF 66
 200 permit 00 00 0
!
interface GigabitEthernet 4/3
 expert access-group uTP in
![/s]

Это не в туннелях разумеется
Что странно - за все время тестирования он показал что мол попало только 17 пакетов, хотя реально их было больше - т.е. смотрел ваершарком - пока правило было активно - пакеты с 7fffffffab не бегали - убирал правило - начинали бегать. Для проверки создал даже правило запрещающее icmp полностью ( 100 deny 01 FF 35 ) - пинги ходить переставали, все остальное работало, но при этом счетчик опять таки не крутился так как надо...

Код:
r8610#sh access-lists uTP

expert access-list advanced uTP
 100 deny 11 FF 35 7FFFFFFFAB FFFFFFFFFF 66
 200 permit 00 00 0
 17 packets filtered


Последний раз редактировалось ibz Чт мар 04, 2010 10:06, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт мар 02, 2010 23:06 
Не в сети

Зарегистрирован: Вс дек 21, 2008 18:53
Сообщений: 1308
Andrei_V писал(а):
ОЧЕНЬ бюджетные управляемые свичи Planet WGSD-1020

Первая же ссылка в яндексе сообщает о том, что они еще и очень глючные. Мол управление доступно из любого влана, при этом есть глюк, вешающий коммутатор с вероятностью чуть более, чем 100%. И разработчики отказались его исправлять. Вы не сталкивались ни с чем подобным?

_________________
D-Link Switches: Tips & Tricks


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср мар 03, 2010 06:24 
Не в сети

Зарегистрирован: Чт ноя 09, 2006 19:15
Сообщений: 105
xcme писал(а):
Andrei_V писал(а):
ОЧЕНЬ бюджетные управляемые свичи Planet WGSD-1020

Первая же ссылка в яндексе сообщает о том, что они еще и очень глючные. Мол управление доступно из любого влана, при этом есть глюк, вешающий коммутатор с вероятностью чуть более, чем 100%. И разработчики отказались его исправлять. Вы не сталкивались ни с чем подобным?

Про эту проблему знаю, но на практике с ней не сталукивался.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 99 ]  На страницу Пред.  1, 2, 3, 4, 5, 6, 7  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 70


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB