1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Вс июл 20, 2025 19:57

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 2
  [ Сообщений: 24 ]  На страницу 1, 2  След.
  Предыдущая тема | Следующая тема 
Автор Сообщение
Negator1983
СообщениеДобавлено: Чт авг 19, 2010 20:39 
Не в сети

Зарегистрирован: Чт фев 08, 2007 15:35
Сообщений: 274
Решил доковырять таки правильную настройку свичей доступа.
Обмозговал и получилось вот что:

1-#Разрешаем весь IP в управляющем влане с высшим приоритетом
Правило нужное. Во первых приоритет управляющей сети, во вторых чтобы в цепочке коммутаторов DHCP relay отрабатывал корректно.
Сюда же можно в дальнейшем выставить например приоритет влану для IPTV
manag=VLAN управления

Код:
create access_profile ip vlan profile_id 11
config access_profile profile_id 11 add access_id 1 ip vlan manag port 1 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 2 ip vlan manag port 2 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 3 ip vlan manag port 3 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 4 ip vlan manag port 4 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 5 ip vlan manag port 5 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 6 ip vlan manag port 6 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 7 ip vlan manag port 7 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 8 ip vlan manag port 8 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 9 ip vlan manag port 9 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 10 ip vlan manag port 10 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 11 ip vlan manag port 11 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 12 ip vlan manag port 12 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 13 ip vlan manag port 13 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 14 ip vlan manag port 14 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 15 ip vlan manag port 15 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 16 ip vlan manag port 16 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 17 ip vlan manag port 17 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 18 ip vlan manag port 18 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 19 ip vlan manag port 19 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 20 ip vlan manag port 20 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 21 ip vlan manag port 21 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 22 ip vlan manag port 22 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 23 ip vlan manag port 23 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 24 ip vlan manag port 24 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 25 ip vlan manag port 25 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 26 ip vlan manag port 26 permit priority 7 replace_priority replace_dscp_with 63


2.#Запрещаем PPPOE сервера с клиентских портов(1-24)

Код:
create access_profile packet_content_mask offset_16-31  0xFFFF00FF  0x0  0x0  0x0 profile_id 13
config access_profile profile_id 13 add access_id 1 packet_content_mask offset_16-31  0x88630007  0x0  0x0  0x0 port 1 deny
config access_profile profile_id 13 add access_id 2 packet_content_mask offset_16-31  0x88630007  0x0  0x0  0x0 port 2 deny
config access_profile profile_id 13 add access_id 3 packet_content_mask offset_16-31  0x88630007  0x0  0x0  0x0 port 3 deny
config access_profile profile_id 13 add access_id 4 packet_content_mask offset_16-31  0x88630007  0x0  0x0  0x0 port 4 deny
config access_profile profile_id 13 add access_id 5 packet_content_mask offset_16-31  0x88630007  0x0  0x0  0x0 port 5 deny
config access_profile profile_id 13 add access_id 6 packet_content_mask offset_16-31  0x88630007  0x0  0x0  0x0 port 6 deny
config access_profile profile_id 13 add access_id 7 packet_content_mask offset_16-31  0x88630007  0x0  0x0  0x0 port 7 deny
config access_profile profile_id 13 add access_id 8 packet_content_mask offset_16-31  0x88630007  0x0  0x0  0x0 port 8 deny
config access_profile profile_id 13 add access_id 9 packet_content_mask offset_16-31  0x88630007  0x0  0x0  0x0 port 9 deny
config access_profile profile_id 13 add access_id 10 packet_content_mask offset_16-31  0x88630007  0x0  0x0  0x0 port 10 deny
config access_profile profile_id 13 add access_id 11 packet_content_mask offset_16-31  0x88630007  0x0  0x0  0x0 port 11 deny
config access_profile profile_id 13 add access_id 12 packet_content_mask offset_16-31  0x88630007  0x0  0x0  0x0 port 12 deny
config access_profile profile_id 13 add access_id 13 packet_content_mask offset_16-31  0x88630007  0x0  0x0  0x0 port 13 deny
config access_profile profile_id 13 add access_id 14 packet_content_mask offset_16-31  0x88630007  0x0  0x0  0x0 port 14 deny
config access_profile profile_id 13 add access_id 15 packet_content_mask offset_16-31  0x88630007  0x0  0x0  0x0 port 15 deny
config access_profile profile_id 13 add access_id 16 packet_content_mask offset_16-31  0x88630007  0x0  0x0  0x0 port 16 deny
config access_profile profile_id 13 add access_id 17 packet_content_mask offset_16-31  0x88630007  0x0  0x0  0x0 port 17 deny
config access_profile profile_id 13 add access_id 18 packet_content_mask offset_16-31  0x88630007  0x0  0x0  0x0 port 18 deny
config access_profile profile_id 13 add access_id 19 packet_content_mask offset_16-31  0x88630007  0x0  0x0  0x0 port 19 deny
config access_profile profile_id 13 add access_id 20 packet_content_mask offset_16-31  0x88630007  0x0  0x0  0x0 port 20 deny
config access_profile profile_id 13 add access_id 21 packet_content_mask offset_16-31  0x88630007  0x0  0x0  0x0 port 21 deny
config access_profile profile_id 13 add access_id 22 packet_content_mask offset_16-31  0x88630007  0x0  0x0  0x0 port 22 deny
config access_profile profile_id 13 add access_id 23 packet_content_mask offset_16-31  0x88630007  0x0  0x0  0x0 port 23 deny
config access_profile profile_id 13 add access_id 24 packet_content_mask offset_16-31  0x88630007  0x0  0x0  0x0 port 24 deny


3.#Разрешаем PPPOE(Интернет собственно) + приоритет на него
Код:
create access_profile profile_id 14 ethernet ethernet_type
config access_profile profile_id 14 add access_id auto_assign ethernet ethernet_type 0x8863 port 1-26 permit priority 3 replace_priority  replace_dscp_with 25
config access_profile profile_id 14 add access_id auto_assign ethernet ethernet_type 0x8864 port 1-26 permit priority 3 replace_priority replace_dscp_with 25


4. #Разрешаем ARP Broadcast
Код:
create access_profile  ethernet ethernet_type       profile_id 16
config access_profile profile_id 16 add access_id auto_assign ethernet ethernet_type 0x806 port  1-26 permit


5. # Запрещаем весь Broadcast
Код:
create access_profile ethernet destination_mac ff-ff-ff-ff-ff-ff profile_id 17
config access_profile profile_id 17 add access_id auto_assign ethernet destination_mac ff-ff-ff-ff-ff-ff port 1-26 deny


6.#Блокируем Netbios и прочую виндовую шнягу
+67 и 68 порты UDP
Код:
тут много букв


7.# в сеть ходить можно только разрешенным IP

Код:
create access_profile ip source_ip_mask 255.255.255.255 profile_id 19
config access_profile profile_id 19 add access_id 1 ip source_ip 192.168.1.1 port 5 permit


8.#запрещающее правило для всех остальных IP-адресов
Код:
create access_profile ip source_ip_mask 0.0.0.0 profile_id 20
config access_profile profile_id 20 add access_id 2 ip source_ip 0.0.0.0 port 5 deny


9. # все что не IP - запрещаем
Код:
create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 21
config access_profile profile_id 21 add access_id auto_assign ethernet source_mac 00-00-00-00-00-00 port 1-25 deny


Вот что влезло в 9 профилей
а еще надо:
Arp spoofing Prevention (2 профиля), мало ли что еще (например влан какой прокинуть и разрешить в нем все), или вообше ограничить arp запросы только с одного IP адреса (2 профиля)
Что посоветуете?
(IP-MAC_binding не надо, нет желания привязываться к мак-у)
Вернуться наверх
 Профиль  
 
svsh1990
 Заголовок сообщения:
СообщениеДобавлено: Чт авг 19, 2010 21:03 
Не в сети

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль
5 и 8 можно сократить. ну 8 по крайней мере точно.

_________________
LiveComm
Вернуться наверх
 Профиль  
 
mcdemon05
 Заголовок сообщения:
СообщениеДобавлено: Пт авг 20, 2010 02:42 
Не в сети

Зарегистрирован: Вт июн 01, 2010 04:38
Сообщений: 794
Откуда: Vladivostok
1-#Разрешаем весь IP в управляющем влане с высшим приоритетом

А зачем на все порты?
Вернуться наверх
 Профиль  
 
GreatFoolDad
 Заголовок сообщения:
СообщениеДобавлено: Пт авг 20, 2010 06:34 
Не в сети

Зарегистрирован: Ср ноя 09, 2005 14:26
Сообщений: 808
Откуда: Alma-Ata
Не, вообще у 3526-го профилей действительно маловато. Зато как стимулирует мозг! Как приходится выеживаться, что бы вместить побольше! В общем, очередное доказательство величия данного девайса. :D

З.Ы. Вопросик возник - а что у вас такое на 5-м порту (19-й профиль)? IP-телефон?
Предложу:
20-й профиль - "разрешить по ether_type - 800, 806, 8863, 8864"
21-й - "запретить все".

_________________
не важно, из какого места растут золотые руки
Вернуться наверх
 Профиль  
 
Negator1983
 Заголовок сообщения:
СообщениеДобавлено: Пт авг 20, 2010 13:37 
Не в сети

Зарегистрирован: Чт фев 08, 2007 15:35
Сообщений: 274
mcdemon05 писал(а):
1-#Разрешаем весь IP в управляющем влане с высшим приоритетом

А зачем на все порты?


потому что по управляющему влану бегают пакеты dhcp(мы юзаем dhcp relay)

2 All сократить можно, но профилей от этого меньше не станет
Вернуться наверх
 Профиль  
 
Negator1983
 Заголовок сообщения:
СообщениеДобавлено: Пт авг 20, 2010 14:51 
Не в сети

Зарегистрирован: Чт фев 08, 2007 15:35
Сообщений: 274
GreatFoolDad писал(а):
З.Ы. Вопросик возник - а что у вас такое на 5-м порту (19-й профиль)? IP-телефон?


нет -это просто пример.
А вообще правило для клиентов -дабы пускать их в локалку только с ИХ IP адреса.

А запрещающее правило на все порты ставить пока не хочу, оно создается автоматом из биллинга тем кому создано разрешающее правило.
Таким образом после применения подобных привязок на всех портах из биллинга будет равносильно созданию этого правила на всех юзерских портах.
Вернуться наверх
 Профиль  
 
GreatFoolDad
 Заголовок сообщения:
СообщениеДобавлено: Пт авг 20, 2010 15:21 
Не в сети

Зарегистрирован: Ср ноя 09, 2005 14:26
Сообщений: 808
Откуда: Alma-Ata
Negator1983 писал(а):
GreatFoolDad писал(а):
З.Ы. Вопросик возник - а что у вас такое на 5-м порту (19-й профиль)? IP-телефон?


нет -это просто пример.
А вообще правило для клиентов -дабы пускать их в локалку только с ИХ IP адреса.
....


Если у вас все клиенты работают через ПППоЕ, зачем вам вообще что-то разрешать/запрещать по IP? Разрешите с порта только 8863/8864 - и все.

_________________
не важно, из какого места растут золотые руки
Вернуться наверх
 Профиль  
 
Negator1983
 Заголовок сообщения:
СообщениеДобавлено: Пт авг 20, 2010 16:14 
Не в сети

Зарегистрирован: Чт фев 08, 2007 15:35
Сообщений: 274
Ну локалку с бесплатным пирингом надо оставить
Вернуться наверх
 Профиль  
 
Negator1983
 Заголовок сообщения:
СообщениеДобавлено: Пт авг 20, 2010 17:45 
Не в сети

Зарегистрирован: Чт фев 08, 2007 15:35
Сообщений: 274
Итого профилей хватило. Пригодится для истории.
Внимание. ПРАВИЛА работают только для 3526.
Для 3028 они неприменимы.
Итоговый результат:

1. Разрешаем весь IP в управляющем влане с высшим приоритетом
Управляющий влан = manag.
Примечание -добавлено на все порты на всякий случай
К этому профилю можно добавить правила для какого либо другого влана(например нужно прозрачно пропустить куда нибудь влан)
Код:

create access_profile ip vlan profile_id 11
config access_profile profile_id 11 add access_id 1 ip vlan manag port 1 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 2 ip vlan manag port 2 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 3 ip vlan manag port 3 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 4 ip vlan manag port 4 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 5 ip vlan manag port 5 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 6 ip vlan manag port 6 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 7 ip vlan manag port 7 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 8 ip vlan manag port 8 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 9 ip vlan manag port 9 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 10 ip vlan manag port 10 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 11 ip vlan manag port 11 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 12 ip vlan manag port 12 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 13 ip vlan manag port 13 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 14 ip vlan manag port 14 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 15 ip vlan manag port 15 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 16 ip vlan manag port 16 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 17 ip vlan manag port 17 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 18 ip vlan manag port 18 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 19 ip vlan manag port 19 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 20 ip vlan manag port 20 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 21 ip vlan manag port 21 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 22 ip vlan manag port 22 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 23 ip vlan manag port 23 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 24 ip vlan manag port 24 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 25 ip vlan manag port 25 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 26 ip vlan manag port 26 permit priority 7 replace_priority replace_dscp_with 63


2.#Запрещаем PPPOE сервера с клиентских портов(1-24, 26). Аплинк соответсвенно в 25 порту
Код:
create access_profile packet_content_mask offset_16-31  0xFFFF00FF  0x0  0x0  0x0 profile_id 13
config access_profile profile_id 13 add access_id 1 packet_content_mask offset_16-31  0x88630007  0x0  0x0  0x0 port 1 deny
config access_profile profile_id 13 add access_id 2 packet_content_mask offset_16-31  0x88630007  0x0  0x0  0x0 port 2 deny
config access_profile profile_id 13 add access_id 3 packet_content_mask offset_16-31  0x88630007  0x0  0x0  0x0 port 3 deny
config access_profile profile_id 13 add access_id 4 packet_content_mask offset_16-31  0x88630007  0x0  0x0  0x0 port 4 deny
config access_profile profile_id 13 add access_id 5 packet_content_mask offset_16-31  0x88630007  0x0  0x0  0x0 port 5 deny
config access_profile profile_id 13 add access_id 6 packet_content_mask offset_16-31  0x88630007  0x0  0x0  0x0 port 6 deny
config access_profile profile_id 13 add access_id 7 packet_content_mask offset_16-31  0x88630007  0x0  0x0  0x0 port 7 deny
config access_profile profile_id 13 add access_id 8 packet_content_mask offset_16-31  0x88630007  0x0  0x0  0x0 port 8 deny
config access_profile profile_id 13 add access_id 9 packet_content_mask offset_16-31  0x88630007  0x0  0x0  0x0 port 9 deny
config access_profile profile_id 13 add access_id 10 packet_content_mask offset_16-31  0x88630007  0x0  0x0  0x0 port 10 deny
config access_profile profile_id 13 add access_id 11 packet_content_mask offset_16-31  0x88630007  0x0  0x0  0x0 port 11 deny
config access_profile profile_id 13 add access_id 12 packet_content_mask offset_16-31  0x88630007  0x0  0x0  0x0 port 12 deny
config access_profile profile_id 13 add access_id 13 packet_content_mask offset_16-31  0x88630007  0x0  0x0  0x0 port 13 deny
config access_profile profile_id 13 add access_id 14 packet_content_mask offset_16-31  0x88630007  0x0  0x0  0x0 port 14 deny
config access_profile profile_id 13 add access_id 15 packet_content_mask offset_16-31  0x88630007  0x0  0x0  0x0 port 15 deny
config access_profile profile_id 13 add access_id 16 packet_content_mask offset_16-31  0x88630007  0x0  0x0  0x0 port 16 deny
config access_profile profile_id 13 add access_id 17 packet_content_mask offset_16-31  0x88630007  0x0  0x0  0x0 port 17 deny
config access_profile profile_id 13 add access_id 18 packet_content_mask offset_16-31  0x88630007  0x0  0x0  0x0 port 18 deny
config access_profile profile_id 13 add access_id 19 packet_content_mask offset_16-31  0x88630007  0x0  0x0  0x0 port 19 deny
config access_profile profile_id 13 add access_id 20 packet_content_mask offset_16-31  0x88630007  0x0  0x0  0x0 port 20 deny
config access_profile profile_id 13 add access_id 21 packet_content_mask offset_16-31  0x88630007  0x0  0x0  0x0 port 21 deny
config access_profile profile_id 13 add access_id 22 packet_content_mask offset_16-31  0x88630007  0x0  0x0  0x0 port 22 deny
config access_profile profile_id 13 add access_id 23 packet_content_mask offset_16-31  0x88630007  0x0  0x0  0x0 port 23 deny
config access_profile profile_id 13 add access_id 24 packet_content_mask offset_16-31  0x88630007  0x0  0x0  0x0 port 24 deny
config access_profile profile_id 13 add access_id 26 packet_content_mask offset_16-31  0x88630007  0x0  0x0  0x0 port 26 deny


3.#Разрешаем ARP Broadcast+PPPOE c высоким приоритетом + Loopback(для работы функции Looopback Detection)
Код:
create access_profile  ethernet ethernet_type       profile_id 16
config access_profile profile_id 16 add access_id auto_assign ethernet ethernet_type 0x806 port  1-26 permit
config access_profile profile_id 16 add access_id auto_assign ethernet ethernet_type 0x8863 port 1-26 permit priority 3 replace_priority  replace_dscp_with 25
config access_profile profile_id 16 add access_id auto_assign ethernet ethernet_type 0x8864 port 1-26 permit priority 3 replace_priority replace_dscp_with 25 
config access_profile profile_id 16 add access_id auto_assign ethernet ethernet_type 0x9000 port  1-26 permit


4. # запрещаем весь Broadcast
Код:
create access_profile ethernet destination_mac ff-ff-ff-ff-ff-ff profile_id 17
config access_profile profile_id 17 add access_id auto_assign ethernet destination_mac ff-ff-ff-ff-ff-ff port 1-26 deny


5. ##Блокируем Netbios и прочую виндовую шнягу
# Также блокируем порты UDP 67-68. (Мы используем DHCP Relay, а он отрабатывает раньше ACL)
Код:
create access_profile packet_content_mask offset_16-31 0x0 0x0 0x000000ff 0x0 offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 18
config access_profile profile_id 18 add access_id  auto_assign packet_content_mask offset_16-31 0x0 0x0 0x00000011 0x0 offset_32-47 0x0 0x0 0x00440000 0x0 port 1-26 deny
config access_profile profile_id 18 add access_id  auto_assign packet_content_mask offset_16-31 0x0 0x0 0x00000011 0x0 offset_32-47 0x0 0x0 0x00430000 0x0 port 1-26 deny
config access_profile profile_id 18 add access_id  auto_assign packet_content_mask offset_16-31 0x0 0x0 0x00000006 0x0 offset_32-47 0x0 0x0 0x00870000 0x0 port 1-24 deny
config access_profile profile_id 18 add access_id auto_assign packet_content_mask offset_16-31 0x0 0x0 0x00000011 0x0 offset_32-47 0x0 0x0 0x00890000 0x0 port 1-24 deny
config access_profile profile_id 18 add access_id  auto_assign packet_content_mask offset_16-31 0x0 0x0 0x00000011 0x0 offset_32-47 0x0 0x0 0x008a0000 0x0 port 1-24 deny
config access_profile profile_id 18 add access_id auto_assign packet_content_mask offset_16-31 0x0 0x0 0x00000006 0x0 offset_32-47 0x0 0x0 0x008b0000 0x0 port 1-24 deny
config access_profile profile_id 18 add access_id  auto_assign packet_content_mask offset_16-31 0x0 0x0 0x00000006 0x0 offset_32-47 0x0 0x0 0x01710000 0x0 port 1-24 deny
config access_profile profile_id 18 add access_id  auto_assign packet_content_mask offset_16-31 0x0 0x0 0x00000006 0x0 offset_32-47 0x0 0x0 0x01bd0000 0x0 port 1-24 deny
config access_profile profile_id 18 add access_id  auto_assign packet_content_mask offset_16-31 0x0 0x0 0x00000006 0x0 offset_32-47 0x0 0x0 0x02510000 0x0 port 1-24 deny
config access_profile profile_id 18 add access_id  auto_assign packet_content_mask offset_16-31 0x0 0x0 0x00000011 0x0 offset_32-47 0x0 0x0 0x076c0000 0x0 port 1 deny
config access_profile profile_id 18 add access_id auto_assign packet_content_mask offset_16-31 0x0 0x0 0x00000006 0x0 offset_32-47 0x0 0x0 0x13880000 0x0 port 1-24 deny


6. Разрещающее правило для адресов.(на данном порту может быть клиент только с IP адресом AA.BB.CC.DD
Правил надо понаделать на каждом порту куда воткнуты абоненты
Код:
create access_profile ip source_ip_mask 255.255.255.255 profile_id 50
config access_profile profile_id 50 add access_id 1201 ip source_ip AA.BB.CC.DD port <N порта> permit


7.Запрещающее правило
Код:
create access_profile ip source_ip_mask 0.0.0.0 profile_id 60
config access_profile profile_id 60 add access_id 1201 ip source_ip 0.0.0.0 port <N порта> deny


8. Правило запрещающее все что не IP
Код:
create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 70
config access_profile profile_id 70 add access_id 1201 ethernet source_mac 00-00-00-00-00-00 <N порта> deny


Поясню немного про последние 3 правила:
Было бы логичным прописать правило 60 и 70 на все абонентские порты сразу, а в правиле 50 разрешить нужные IP адреса для нужных портов, НО:
в реальной сети сразу сделать это не получается, а правила 50, 60,70 делаются из биллинга как привязка IP-PORT-Binding
Таким образом можно по очередности из биллинга включать привязку каждому абоненту по очереди и не опасаться убить всем все последним правилом.
И у нас остался еще 1 профиль ACL и чуть больше 350 свободный правил.
Вернуться наверх
 Профиль  
 
svsh1990
 Заголовок сообщения:
СообщениеДобавлено: Пт авг 20, 2010 18:07 
Не в сети

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль
7 профиль нахрен не нужен.
и 4 тоже можно сократить, если подумать.

_________________
LiveComm
Вернуться наверх
 Профиль  
 
Negator1983
 Заголовок сообщения:
СообщениеДобавлено: Пт авг 20, 2010 18:13 
Не в сети

Зарегистрирован: Чт фев 08, 2007 15:35
Сообщений: 274
svsh1990 писал(а):
7 профиль нахрен не нужен.
и 4 тоже можно сократить, если подумать.


логично.
Ушел думать дальше
Вернуться наверх
 Профиль  
 
mcdemon05
 Заголовок сообщения:
СообщениеДобавлено: Сб авг 21, 2010 03:05 
Не в сети

Зарегистрирован: Вт июн 01, 2010 04:38
Сообщений: 794
Откуда: Vladivostok
5. ##Блокируем Netbios и прочую виндовую шнягу
Помнится в веб интерфейсе видел функцию Netbios Filter

Кто-нибуть юзал?
Вернуться наверх
 Профиль  
 
svsh1990
 Заголовок сообщения:
СообщениеДобавлено: Сб авг 21, 2010 13:56 
Не в сети

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль
mcdemon05 писал(а):
5. ##Блокируем Netbios и прочую виндовую шнягу
Помнится в веб интерфейсе видел функцию Netbios Filter

Кто-нибуть юзал?

дак тоже самое - насоздает ACLок просто уже готовых и всё.
какая разница - самому вбить или воспользоваться это функцией для создания ACL автоматически.

_________________
LiveComm
Вернуться наверх
 Профиль  
 
GreatFoolDad
 Заголовок сообщения:
СообщениеДобавлено: Пн авг 23, 2010 06:13 
Не в сети

Зарегистрирован: Ср ноя 09, 2005 14:26
Сообщений: 808
Откуда: Alma-Ata
svsh1990 писал(а):
mcdemon05 писал(а):
5. ##Блокируем Netbios и прочую виндовую шнягу
Помнится в веб интерфейсе видел функцию Netbios Filter

Кто-нибуть юзал?

дак тоже самое - насоздает ACLок просто уже готовых и всё.
какая разница - самому вбить или воспользоваться это функцией для создания ACL автоматически.


Вот-вот! Просто когда сам вбиваешь, можно добавить DHCP [-сервера], telnet и много чего другого. А Netbios Filter делает только то, что написано.

_________________
не важно, из какого места растут золотые руки
Вернуться наверх
 Профиль  
 
mukca
 Заголовок сообщения:
СообщениеДобавлено: Пн авг 30, 2010 15:11 
Не в сети

Зарегистрирован: Ср май 16, 2007 19:00
Сообщений: 396
Цитата:
create access_profile packet_content_mask offset_16-31 0x0 0x0 0x000000ff 0x0 offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 18
config access_profile profile_id 18 add access_id auto_assign packet_content_mask offset_16-31 0x0 0x0 0x00000011 0x0 offset_32-47 0x0 0x0 0x00440000 0x0 port 1-26 deny
config access_profile profile_id 18 add access_id auto_assign packet_content_mask offset_16-31 0x0 0x0 0x00000011 0x0 offset_32-47 0x0 0x0 0x00430000 0x0 port 1-26 deny
config access_profile profile_id 18 add access_id auto_assign packet_content_mask offset_16-31 0x0 0x0 0x00000006 0x0 offset_32-47 0x0 0x0 0x00870000 0x0 port 1-24 deny
config access_profile profile_id 18 add access_id auto_assign packet_content_mask offset_16-31 0x0 0x0 0x00000011 0x0 offset_32-47 0x0 0x0 0x00890000 0x0 port 1-24 deny
config access_profile profile_id 18 add access_id auto_assign packet_content_mask offset_16-31 0x0 0x0 0x00000011 0x0 offset_32-47 0x0 0x0 0x008a0000 0x0 port 1-24 deny
config access_profile profile_id 18 add access_id auto_assign packet_content_mask offset_16-31 0x0 0x0 0x00000006 0x0 offset_32-47 0x0 0x0 0x008b0000 0x0 port 1-24 deny
config access_profile profile_id 18 add access_id auto_assign packet_content_mask offset_16-31 0x0 0x0 0x00000006 0x0 offset_32-47 0x0 0x0 0x01710000 0x0 port 1-24 deny
config access_profile profile_id 18 add access_id auto_assign packet_content_mask offset_16-31 0x0 0x0 0x00000006 0x0 offset_32-47 0x0 0x0 0x01bd0000 0x0 port 1-24 deny
config access_profile profile_id 18 add access_id auto_assign packet_content_mask offset_16-31 0x0 0x0 0x00000006 0x0 offset_32-47 0x0 0x0 0x02510000 0x0 port 1-24 deny
config access_profile profile_id 18 add access_id auto_assign packet_content_mask offset_16-31 0x0 0x0 0x00000011 0x0 offset_32-47 0x0 0x0 0x076c0000 0x0 port 1 deny
config access_profile profile_id 18 add access_id auto_assign packet_content_mask offset_16-31 0x0 0x0 0x00000006 0x0 offset_32-47 0x0 0x0 0x13880000 0x0 port 1-24 deny

а почему на 1-24 портах /??
+ два правила на 1-26 портах
+ предпоследние только на 1 порту
опчатки/?!

_________________
Умная книжка по теории сетей и настройкам свичей:
ftp://ftp.dlink.ru/pub/Trainings/Switch_D-Link_newest_Basic.pdf
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 2
  [ Сообщений: 24 ]  На страницу 1, 2  След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 197

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB