1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Сб авг 02, 2025 13:09

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 12 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
vivers
 Заголовок сообщения: Порядок ACL на 3028
СообщениеДобавлено: Ср апр 14, 2010 13:30 
Не в сети

Зарегистрирован: Пт сен 18, 2009 14:20
Сообщений: 42
Добрый день.

Недавно я поменял свои ACL на 3028, и хочу уточнить у профи, все ли верно сделал? Каждое правило в отдельности я прекрасно понимаю, но не знаю, верный ли порядок правил. На стенде все работает, но боюсь, что вылезут проблемы в продакшине.

Код:
# Запрещаем более 2-х маков на порту

config port_security ports 1-24 admin_state enable max_learning_addr 2 lock_address_mode DeleteOnTimeout

# разрешаем ARP

create access_profile ethernet ethernet_type profile_id 1
config access_profile profile_id 1 add access_id 1 ethernet ethernet_type 0x806 port 1-28 permit

# запрещаем бродкасты

create access_profile ethernet destination_mac ff-ff-ff-ff-ff-ff profile_id 2
config access_profile profile_id 2 add access_id 1 ethernet destination_mac ff-ff-ff-ff-ff-ff port 1-28 deny


# Разрешаем адреса с привязкой к порту

create access_profile ip source_ip_mask 255.255.255.255 profile_id 3
config access_profile profile_id 3 add access_id 1 ip source_ip 172.20.1.1 port 1 permit
config access_profile profile_id 3 add access_id 2 ip source_ip 172.20.1.2 port 2 permit


# Настройте запрещающее правило для всех остальных IP-адресов

create access_profile ip source_ip_mask 0.0.0.0 profile_id 4
config access_profile profile_id 4 add access_id 1 ip source_ip 0.0.0.0 port 1-24 deny


# запрещаю TCP порты

create access_profile ip tcp dst_port_mask 0xffff profile_id 5
config access_profile profile_id 5 add access_id auto_assign ip tcp dst_port 135 port 1-28 deny
config access_profile profile_id 5 add access_id auto_assign ip tcp dst_port 137 port 1-28 deny
config access_profile profile_id 5 add access_id auto_assign ip tcp dst_port 138 port 1-28 deny
config access_profile profile_id 5 add access_id auto_assign ip tcp dst_port 139 port 1-28 deny
config access_profile profile_id 5 add access_id auto_assign ip tcp dst_port 445 port 1-28 deny


# запрещаю UDP порты

create access_profile ip udp dst_port_mask 0xffff profile_id 6
config access_profile profile_id 6 add access_id auto_assign ip udp dst_port 135 port 1-28 deny
config access_profile profile_id 6 add access_id auto_assign ip udp dst_port 137 port 1-28 deny
config access_profile profile_id 6 add access_id auto_assign ip udp dst_port 138 port 1-28 deny
config access_profile profile_id 6 add access_id auto_assign ip udp dst_port 139 port 1-28 deny


# Запрещаем левые DHCP

create access_profile ip udp src_port_mask 0xFFFF profile_id 7
config access_profile profile_id 7 add access_id 1 ip udp src_port 67 port 25 permit
config access_profile profile_id 7 add access_id 2 ip udp src_port 67 port 1-24 deny


# приоритеты для мультикаста

create access_profile ip destination_ip_mask 255.255.255.0 profile_id 10
config access_profile profile_id 10 add access_id 1 ip destination_ip 238.1.1.0 port 1-28 permit priority 5
config access_profile profile_id 10 add access_id 2 ip destination_ip 224.0.0.0 port 1-28 permit priority 5

# разрешаем IP протокол

create access_profile ethernet ethernet_type profile_id 11
config access_profile profile_id 11 add access_id 1 ethernet ethernet_type 0x800 port 1-28 permit

# запрещаем весь возможный траффик

create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 100
config access_profile profile_id 100 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-28 deny


Возможно будут какие-нибудь коррективы? Да и многим начинающим, думаю, пригодится.
Вернуться наверх
 Профиль  
 
MicAB
 Заголовок сообщения:
СообщениеДобавлено: Ср апр 14, 2010 22:04 
Не в сети

Зарегистрирован: Пт авг 28, 2009 09:40
Сообщений: 36
Откуда: Рязань
Запреты портов TCP и UDP стоит поставить до 3 профиля.
Вернуться наверх
 Профиль  
 
vivers
 Заголовок сообщения:
СообщениеДобавлено: Чт апр 15, 2010 09:14 
Не в сети

Зарегистрирован: Пт сен 18, 2009 14:20
Сообщений: 42
MicAB писал(а):
Запреты портов TCP и UDP стоит поставить до 3 профиля.


По вашему совету переделал, все работает как нужно на стенде, сейчас правила выглядят вот так:

Код:
# Запрещаем более 2-х маков на порту

config port_security ports 1-24 admin_state enable max_learning_addr 2 lock_address_mode DeleteOnTimeout

# разрешаем ARP

create access_profile ethernet ethernet_type profile_id 1
config access_profile profile_id 1 add access_id 1 ethernet ethernet_type 0x806 port 1-28 permit

# запрещаем бродкасты

create access_profile ethernet destination_mac ff-ff-ff-ff-ff-ff profile_id 2
config access_profile profile_id 2 add access_id 1 ethernet destination_mac ff-ff-ff-ff-ff-ff port 1-28 deny

# запрещаем TCP-порты

create access_profile ip tcp dst_port_mask 0xffff profile_id 3
config access_profile profile_id 3 add access_id auto_assign ip tcp dst_port 135 port 1-28 deny
config access_profile profile_id 3 add access_id auto_assign ip tcp dst_port 137 port 1-28 deny
config access_profile profile_id 3 add access_id auto_assign ip tcp dst_port 138 port 1-28 deny
config access_profile profile_id 3 add access_id auto_assign ip tcp dst_port 139 port 1-28 deny
config access_profile profile_id 3 add access_id auto_assign ip tcp dst_port 445 port 1-28 deny


# запрещаем UDP-порты

create access_profile ip udp dst_port_mask 0xffff profile_id 4
config access_profile profile_id 4 add access_id auto_assign ip udp dst_port 135 port 1-28 deny
config access_profile profile_id 4 add access_id auto_assign ip udp dst_port 137 port 1-28 deny
config access_profile profile_id 4 add access_id auto_assign ip udp dst_port 138 port 1-28 deny
config access_profile profile_id 4 add access_id auto_assign ip udp dst_port 139 port 1-28 deny


# Разрешаем адрес с привязкой к порту

create access_profile ip source_ip_mask 255.255.255.255 profile_id 5
config access_profile profile_id 5 add access_id 1 ip source_ip 172.20.1.1 port 1 permit
config access_profile profile_id 5 add access_id 2 ip source_ip 172.20.1.2 port 2 permit


# Запрещаем все остальные IP-адреса

create access_profile ip source_ip_mask 0.0.0.0 profile_id 6
config access_profile profile_id 6 add access_id 1 ip source_ip 0.0.0.0 port 1-24 deny


# Запрещаем левые DHCP

create access_profile ip udp src_port_mask 0xFFFF profile_id 7
config access_profile profile_id 7 add access_id 1 ip udp src_port 67 port 25 permit
config access_profile profile_id 7 add access_id 2 ip udp src_port 67 port 1-24 deny


# приоритеты для мультикаста

create access_profile ip destination_ip_mask 255.255.255.0 profile_id 10
config access_profile profile_id 10 add access_id 1 ip destination_ip 238.1.1.0 port 1-28 permit priority 5
config access_profile profile_id 10 add access_id 2 ip destination_ip 224.0.0.0 port 1-28 permit priority 5

# разрешаем IP протокол

create access_profile ethernet ethernet_type profile_id 11
config access_profile profile_id 11 add access_id 1 ethernet ethernet_type 0x800 port 1-28 permit

# запрещаем весь возможный траффик

create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 100
config access_profile profile_id 100 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-28 deny
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения:
СообщениеДобавлено: Чт апр 15, 2010 10:34 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Запрет несанкционированных DHCP серверов также приподнимите по списку, как и запрет SMB. У Вас в сети клиенты IP по DHCP получают? Приоритет для мультикаста не будет работать для клиентов, которые разрешены 5 профилем или запрещены 6-м.
Вернуться наверх
 Профиль  
 
vivers
 Заголовок сообщения:
СообщениеДобавлено: Чт апр 15, 2010 10:59 
Не в сети

Зарегистрирован: Пт сен 18, 2009 14:20
Сообщений: 42
Я так понял, разрешение IP на определенном порту, и запрет всех остальных, нужно делать одним из самых последних, перед разршением IP протокола?
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения:
СообщениеДобавлено: Чт апр 15, 2010 11:17 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
В Вашем случае да, но учтите, что правило с параметром priority является и разрешающим на этой серии, поэтому если Вы его поставите перед 6-м профилем, то у Вас клиенты, которых Вы видимо хотите запретить смогут отправлять пакетики по dest_ip из 10-го профиля. Если нужно меппить указанные Вами пакеты в более приоритетную очередь только от разрешенных клиентов, то лучше сделать так:
Код:
# приоритеты для мультикаста  (для разрешенных клиентов)
create access_profile ip source_ip_mask 255.255.255.255 destination_ip_mask 255.255.255.0 profile_id 5
config access_profile profile_id 5 add access_id 1 ip source_ip 172.20.1.1 destination_ip 238.1.1.0 port 1 permit priority 5
config access_profile profile_id 5 add access_id 2 ip source_ip 172.20.1.1 destination_ip 224.0.0.0 port 1 permit priority 5

# Разрешаем адрес с привязкой к порту
create access_profile ip source_ip_mask 255.255.255.255 profile_id 6
config access_profile profile_id 6 add access_id 1 ip source_ip 172.20.1.1 port 1 permit
config access_profile profile_id 6 add access_id 2 ip source_ip 172.20.1.2 port 2 permit
Вернуться наверх
 Профиль  
 
vivers
 Заголовок сообщения:
СообщениеДобавлено: Чт апр 15, 2010 12:39 
Не в сети

Зарегистрирован: Пт сен 18, 2009 14:20
Сообщений: 42
Те нужно создать еще один профиль, и в нем на каждый IP-адрес по 2 правила? Не хотелось бы так плодить правила.

Тем более будет разрешена отправка пакетов с адресами назначения 238.1.1.0 и 224.0.0.0, это мультикаст группы, а в настройках мультикаста я прописал, что мультикаст может приходить только с 25 порта.

Или я о чем то забываю?
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения:
СообщениеДобавлено: Чт апр 15, 2010 13:00 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
А Вы какой смысл вкладываете в нижеследующие правила?:
Код:
# приоритеты для мультикаста

create access_profile ip destination_ip_mask 255.255.255.0 profile_id 10
config access_profile profile_id 10 add access_id 1 ip destination_ip 238.1.1.0 port 1-28 permit priority 5
config access_profile profile_id 10 add access_id 2 ip destination_ip 224.0.0.0 port 1-28 permit priority 5

Как я уже писал, эти правила при таком profile_id в Вашем случае просто не отработают на портах 1-24. А в случае с 25 портом если пакет уже приходит с 802.1p приоритетом, то он итак будет поставлен в соответствующую очередь.
P.S. И не забывайте, что ACL работают только на входящий в порт трафик.
Вернуться наверх
 Профиль  
 
vivers
 Заголовок сообщения:
СообщениеДобавлено: Чт апр 15, 2010 13:26 
Не в сети

Зарегистрирован: Пт сен 18, 2009 14:20
Сообщений: 42
Понял!
Вообще приоритет для мультикаста я расставляю на всей цепочке - от источника до клиента, но сейчас понял, что его стоит сохранить только на магистральных портах. Да и то, только на 25 порту, откуда приходит мультикаст (для случая, если где-то забыл промаркировать до этого).
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения:
СообщениеДобавлено: Чт апр 15, 2010 13:42 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Да, тогда в Вашем варианте правил просто укажите именно 25 порт.
Вернуться наверх
 Профиль  
 
MicAB
 Заголовок сообщения:
СообщениеДобавлено: Чт апр 15, 2010 15:07 
Не в сети

Зарегистрирован: Пт авг 28, 2009 09:40
Сообщений: 36
Откуда: Рязань
Если в сети используется loopdetect на клиентских портах, то стоит добавить

Код:
config access_profile profile_id XXX add access_id auto ethernet ethernet_type 0x9000 port 1-28 permit
Вернуться наверх
 Профиль  
 
vivers
 Заголовок сообщения:
СообщениеДобавлено: Чт апр 15, 2010 15:18 
Не в сети

Зарегистрирован: Пт сен 18, 2009 14:20
Сообщений: 42
MicAB писал(а):
Если в сети используется loopdetect на клиентских портах, то стоит добавить

Код:
config access_profile profile_id XXX add access_id auto ethernet ethernet_type 0x9000 port 1-28 permit


Ага, это чтобы loopdetect отрабатывал? Логично, мы же все, кроме IP-протокола запретили. Спасибо за подсказку!
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 12 ] 

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 14

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB