Уважаемые господа! По сетевым технологиям опыт имею небольшой, но честно пытаюсь все сначала прочесть и найти самостоятельно. Есть задача в которой прошу вашего совета:
имеем switch 3828 (модель думаю не важна). поднимаем два VLAN. на одном порту абоненты, на втором сервер
что то типа такого
create vlan vlan2 tag 2121
config vlan default delete 1-2
config vlan vlan2 add untagged 1-2
create ipif v212 192.168.212.1/24 vlan2 state enable
vlan не тегированный (в будущем от абонентов изменю на тегированный, на правила ACL это не повлияет - 4 байта в пакет добавляются при любом VLAN)
итак - задача. Необходимо сделать что то типа IP mac binding. Пользоваться встроенным неудобно потому как все непрописанные связки IPMAC - автоматом блокируются. а связки IP МАС приходят и уходят - и не всегда успеваешь их отследить.... поэтому идея заключается в следующем:
ACL ARP
1 разрешаем связку IP+MAC
2 запрещаем для выделенного IP (здесь же можно запрещать служебные IP которые будут задействованы на других портах)
3 разрешаем для подсети
4 запрещаем все
т.е. те связки, которые пойманы попадают в первое правило и второе.
во втором правиле без мака (т.е. если по первому правилу не прошли (MAC не тот) по второму будет deny )
все которые не пойманы - пройдут по третьему правилу
ну а адреса не из подсети будут отброшены.
Здесь сразу вопрос - нужно ли последнее правило. так как имеем VLAN а он и так не пропустит ничего кроме адресов из подсети на интерфейсе?
Вот реализация сказанного:
create access_profile packet_content_mask offset_16-31 0xFFFF0000 0x00000000 0x000FFFFF 0xFFFFFFFF offset_32-47 0xFFFFFFFF 0x0 0x0 0x0 profile_id 2
config access_profile profile_id 2 add access_id 1 packet_content_mask offset_16-31 0x8060000 0x0 0x01AACB 0x22132040 offset_32-47 0xc0a8d40a 0x0 0x0 0x0 port 1 permit

create access_profile packet_content_mask offset_16-31 0xFFFF0000 0x00000000 0x000F0000 0x00000000 offset_32-47 0xFFFFFFFF 0x0 0x0 0x0 profile_id 3
config access_profile profile_id 3 add access_id 1 packet_content_mask offset_16-31 0x8060000 0x0 0x010000 0x0 offset_32-47 0xc0a8d40c 0x0 0x0 0x0 port 1 deny

create access_profile packet_content_mask offset_16-31 0xFFFF0000 0x0 0xF0000 0x0 offset_32-47 0xFFFFFF00 0x0 0x0 0x0 profile_id 5
config access_profile profile_id 5 add access_id 1 packet_content_mask offset_16-31 0x8060000 0x0 0x10000 0x0 offset_32-47 0xc0a8d400 0x0 0x0 0x0 port 1 permit

create access_profile packet_content_mask offset_16-31 0xFFFF0000 0x0 0xF0000 0x0 profile_id 7
config access_profile profile_id 7 add access_id 1 packet_content_mask offset_16-31 0x8060000 0x0 0x10000 0x0 port 1 deny

Далее, аналогичную вещь хочу распространить не только на ARP но и на весь протокол ETHERNET
все то же самое только для ip протокола:
create access_profile packet_content_mask offset_0-15 0x0 0x0000FFFF 0xFFFFFFFF 0x0 offset_16-31 0xFFFF0000 0x0 0x00 0x0FFFF offset_32-47 0xFFFF0000 0x0 0x0 0x0 profile_id 2
config access_profile profile_id 2 add access_id 1 packet_content_mask offset_0-15 0x0 0x0000AACB 0x22132040 0x0 offset_16-31 0x8000000 0x0 0x0 0x0000c0a8 offset_32-47 0xd40a0000 0x0 0x0 0x0 port 1 permit

create access_profile packet_content_mask offset_16-31 0xFFFF0000 0x0 0x00 0x0FFFF offset_32-47 0xFFFF0000 0x0 0x0 0x0 profile_id 3
config access_profile profile_id 3 add access_id 1 packet_content_mask offset_16-31 0x8000000 0x0 0x0 0x0000c0a8 offset_32-47 0xd40a0000 0x0 0x0 0x0 port 1 deny

create access_profile packet_content_mask offset_16-31 0xFFFF0000 0x0 0x00 0x0FFFF offset_32-47 0xFF000000 0x0 0x0 0x0 profile_id 4
config access_profile profile_id 4 add access_id 1 packet_content_mask offset_16-31 0x8000000 0x0 0x0 0x0000c0a8 offset_32-47 0xd4000000 0x0 0x0 0x0 port 1 permit

create access_profile packet_content_mask offset_16-31 0xFFFF0000 0x0 0x00 0x0 profile_id 4
config access_profile profile_id 5 add access_id 1 packet_content_mask offset_16-31 0x8000000 0x0 0x0 0x0 port 1 deny
тем самым мы получаем все что пришло на первый порт пришло от требуемого IP+MAC (если конечно все хосты внесены в рулы 1и 2)
Далее вопрос - а что же пришло - это уже другая история.
Прошу подсказать не допустил глобальных каких то ошибок...
нужен ли послдний профиль по запрещению всего или это сделает сама железяка за счет того что на порту установлен интерфейс а пакеты приходят от источника, не совпадающего с ним....
P.S. IP и маки в правилах взяты условно. В правилах могут быть немного перепутаны номера профилей - просто в работе все. главное - вопрос в идее!
Спасибо

Здесь кстати еще один вопросик. в дальнейшем хотелось бы автоматизировать процесс поиска новых связок IP+МАС. Т.е. имеем например базу хостов в которых пробиты IP адреса. Неким скриптом (перлы, шмерлы или PHP) подцепляемся к устройству считываем таблицу IP+MAC, дальше сверяемся с базой, находим, которые не прописаны в свитче, вносим изменения в базу и прописываем в свитч. Было бы удобно - я бы этот процесс запустил бы навечно и забыл бы как звали... если абонент меняет MAC - я просто в базе удаляю его мак... ну и что нибудь придумаю... какой нибудь бы рабочий примерчик...

Если есть задача запретить всё лишнее, то нужно добавить последнее запрещающее правило.

_________________
С уважением,
Бигаров Руслан.

Уважаемые форумчане. Помогите с ACL на DGS-3612G:
В 10 порт включена офисная подсеть 192.168.64.0/24
Задача закрыть доступ в мир, оставить доступ только для определенных внешних Ip и для некоторых локальных диапазонов. Интернет офис получает посредством pptp (vpn сервер подключен в 1-й порт).

Правила которые создавал я не работают так как бы хотелось.

1) Открываю доступ на внешний ip


2) Открываю доступ в локальную сеть


3) Закрываю все остальное


Для локальной сети правило работает (правило удаляю и 192.168.0.0/16 они не видят), но интернет офисные машинки получают через pptp без проблем.

Всё правильно, потому что от пользователей пакеты идут только на VPN сервер, к которому разрешен доступ. Нужно влазить внутрь pptp трафика и смотреть там реальные адреса, к которым обращаются пользователи.
Если трафик не шифрованый, то это возможно с помощью PCF, если шифрованый, то невозможно вообще.

Трафик не шифрованный. Не могли бы Вы помочь с построением правил с помощью PCF?

качайте снифер (например commview), зеркалируйте трафик и вы увидите пакет. В факе написано, как писать правила на основе пакета, поищите - найдёте.

Отзеркалированные пакетики лучше сохранить в формате PCAP, тогда их потом удобнее просматривать. Документация по PCF ACL на DGS-36xx есть здесь: http://dlink.ru/ru/faq/62/892.html

Спасибо, буду разбираться.