Доброго LOCAL_TIME!
Ввиду снятия с производства DES-3526 готовимся к использованию DES3200-28. Однако при проверки работы текущих ACL на 3200 возникла проблема. PCF, запрещающий весь трафик теперь перекрывает широковещательные запросы, разрешенные правилом с меньшим ID!
Это ACL для 3526, все замечательно работает уже несколько лет:
Block DHCP (боремся против диких DHCP)
Код:
create access_profile ip udp src_port_mask 0xFFFF profile_id 5
config access_profile profile_id 5 add access_id 1 ip udp src_port 67 port 26 permit
config access_profile profile_id 5 add access_id 2 ip udp src_port 67 port 1-25 deny
Разрешаем широковещательные запросыКод:
create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF profile_id 7
config access_profile profile_id 7 add access_id 1 ethernet destination_mac FF-FF-FF-FF-FF-FF port 1-26 permit
Разрешаем определённой паре ip-mac соединения с IP адресами VPN серверов и сайтами (91.192.X.X)Код:
create access_profile packet_content_mask offset_0-15 0x0 0xFFFF 0xFFFFFFFF 0x0 offset_16-31 0x0 0x0 0x0 0xFFFF offset_32-47 0xFFFFFFFF 0x0 0x0 0x0 profile_id 10
config access_profile profile_id 10 add access_id 1 packet_content_mask offset_0-15 0x0 0xXXXX 0xXXXXXXXX 0x0 offset_16-31 0x0 0x0 0x0 0xYYYY offset_32-47 0xYYYY5bc0 0x0 0x0 0x0 port 1 permit
XXXXXXXXXXXX - MAC клиента
YYYYYYYY - IP клиента
Разрешаем локальную сеть, то есть отправку на любой mac, + src ip привязан к src macКод:
create access_profile packet_content_mask offset_0-15 0x0 0xFFFF 0xFFFFFFFF 0x0 offset_16-31 0x0 0x0 0x0 0xFFFF offset_32-47 0xFFFF0000 0x0 0x0 0x0 profile_id 15
Запрещаем всёКод:
create access_profile packet_content_mask offset_16-31 0xFFFF0000 0x0 0x0 0x0 profile_id 30
config access_profile profile_id 30 add access_id 1 packet_content_mask offset_16-31 0x8000000 0x0 0x0 0x0 port 1-25 deny
Вот ACL, адаптированные под 3200:
Block DHCP (боремся против диких DHCP)Код:
create access_profile ip udp src_port_mask 0xFFFF profile_id 5
config access_profile profile_id 5 add access_id 1 ip udp src_port 67 port 28 permit
config access_profile profile_id 5 add access_id 2 ip udp src_port 67 port 1-27 deny
Разрешаем широковещательные запросыКод:
create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF profile_id 7
config access_profile profile_id 7 add access_id 1 ethernet destination_mac FF-FF-FF-FF-FF-FF port 1-28 permit
Разрешаем определённой паре ip-mac соединения с IP адресами VPN серверов и сайтами (91.192.X.X)Код:
create access_profile packet_content_mask source_mac FF-FF-FF-FF-FF-FF offset1 l3 12 0xFFFF offset2 l3 14 0xFFFF offset3 l3 16 0xFFFF profile_id 10
+config access_profile profile_id 10 add access_id 1 packet_content source_mac XX-XX-XX-XX-XX-XX offset1 0xYYYY offset2 0xYYYY offset3 0x5bc0 port 1 permit
-config access_profile profile_id 10 delete access_id N
XXXXXXXXXXXX - MAC клиента
YYYYYYYY - IP клиента
5bc0 - 91.192
Разрешаем локальную сеть, то есть отправку на любой mac, + src ip привязан к src mac.Код:
create access_profile packet_content_mask source_mac FF-FF-FF-FF-FF-FF offset1 l3 12 0xFFFF offset2 l3 14 0xFFFF profile_id 15
+config access_profile profile_id 15 add access_id N packet_content source_mac XX-XX-XX-XX-XX-XX offset1 0xYYYY offset2 0xYYYY port 1 permit
-config access_profile profile_id 15 delete access_id N
XXXXXXXXXXXX - MAC клиента
YYYYYYYY - IP клиента
Запрещаем всёКод:
create access_profile packet_content_mask offset1 l2 0 0xFFFF profile_id 30
config access_profile profile_id 30 add access_id 1 packet_content offset1 0x0800 port 1-27 deny
При создании профиля с ID 30 перестает ходить широковещательный трафик, и, как следствие, клиент не может получить IP от DHCP сервера.
Вход
Регистрация
FAQ
Поиск
