D-Link • Просмотр темы - Настройка ACL 3526 не хватает профилей

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Настройка ACL 3526 не хватает профилей

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 2 из 2

[ Сообщений: 24 ]

На страницу Пред. 1, 2

Предыдущая тема | Следующая тема

Автор

Сообщение

snark

Заголовок сообщения:

Добавлено: Вс сен 05, 2010 22:27

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13

ХЗ когда тут постил правила (для удобства ХХ, в правиле 6 и 8 надо заменить на номер порта):

Код:

#------------------------------------------------------------------------------
# разрешение:
# определенный VLAN
create access_profile                                        ethernet ethernet_type       vlan         profile_id 1
config access_profile profile_id 1 add access_id auto_assign ethernet ethernet_type 0x806 vlan default port 1-26 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 1 add access_id auto_assign ethernet ethernet_type 0x800 vlan default port 1-26 permit priority 7 replace_priority replace_dscp_with 63


#------------------------------------------------------------------------------
# запрещение:
# протокол IP + пакет не фрагментирован + порт
create access_profile                                        packet_content_mask offset_16-31 0xffff0000 0x0 0x00ff0000 0x0 offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 2
# 135
config access_profile profile_id 2 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x00870000 0x0 port 1-24 deny
# 137
config access_profile profile_id 2 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x00890000 0x0 port 1-24 deny
# 138
config access_profile profile_id 2 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x008a0000 0x0 port 1-24 deny
# 139
config access_profile profile_id 2 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x008b0000 0x0 port 1-24 deny
# 445
config access_profile profile_id 2 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000000 0x0 offset_32-47 0x0 0x0 0x01bd0000 0x0 port 1-24 deny


#------------------------------------------------------------------------------
# запрещение:
# протокол IP + пакет не фрагментирован + протокол TCP/UDP + порт
create access_profile                                        packet_content_mask offset_16-31 0xffff0000 0x0 0x00ff00ff 0x0 offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 3
# 67
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000011 0x0 offset_32-47 0x0 0x0 0x00430000 0x0 port 1-24 deny
# 68
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000011 0x0 offset_32-47 0x0 0x0 0x00440000 0x0 port 1-24 deny
# 1900
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000011 0x0 offset_32-47 0x0 0x0 0x076c0000 0x0 port 1-24 deny
# 2869
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x00000006 0x0 offset_32-47 0x0 0x0 0x0b350000 0x0 port 1-24 deny


#------------------------------------------------------------------------------
# запрещение внутри РРРоЕ:
# РРРоЕ сессия + протокол IP + пакет не фрагментирован + порт
create access_profile                                        packet_content_mask offset_16-31 0xffff0000 0x0 0xffff0000 0x0 offset_32-47 0x00ff0000 0x0 0x0 0x0 offset_48-63 0xffff0000 0x0 0x0 0x0 profile_id 4
# 135
config access_profile profile_id 4 add access_id auto_assign packet_content_mask offset_16-31 0x88640000 0x0 0x00210000 0x0 offset_32-47 0x00000000 0x0 0x0 0x0 offset_48-63 0x00870000 0x0 0x0 0x0 port 1-24 deny
# 137
config access_profile profile_id 4 add access_id auto_assign packet_content_mask offset_16-31 0x88640000 0x0 0x00210000 0x0 offset_32-47 0x00000000 0x0 0x0 0x0 offset_48-63 0x00890000 0x0 0x0 0x0 port 1-24 deny
# 138
config access_profile profile_id 4 add access_id auto_assign packet_content_mask offset_16-31 0x88640000 0x0 0x00210000 0x0 offset_32-47 0x00000000 0x0 0x0 0x0 offset_48-63 0x008a0000 0x0 0x0 0x0 port 1-24 deny
# 139
config access_profile profile_id 4 add access_id auto_assign packet_content_mask offset_16-31 0x88640000 0x0 0x00210000 0x0 offset_32-47 0x00000000 0x0 0x0 0x0 offset_48-63 0x008b0000 0x0 0x0 0x0 port 1-24 deny
# 445
config access_profile profile_id 4 add access_id auto_assign packet_content_mask offset_16-31 0x88640000 0x0 0x00210000 0x0 offset_32-47 0x00000000 0x0 0x0 0x0 offset_48-63 0x01bd0000 0x0 0x0 0x0 port 1-24 deny


#------------------------------------------------------------------------------
# запрещение внутри РРРоЕ:
# РРРоЕ сессия + протокол IP + пакет не фрагментирован + протокол TCP/UDP + порт
create access_profile                                        packet_content_mask offset_16-31 0xffff0000 0x0 0xffff0000 0x0 offset_32-47 0x00ff00ff 0x0 0x0 0x0 offset_48-63 0xffff0000 0x0 0x0 0x0 profile_id 5
# 67 (UDP)
config access_profile profile_id 5 add access_id auto_assign packet_content_mask offset_16-31 0x88640000 0x0 0x00210000 0x0 offset_32-47 0x00000011 0x0 0x0 0x0 offset_48-63 0x00430000 0x0 0x0 0x0 port 1-24 deny
# 1900(UDP)
config access_profile profile_id 5 add access_id auto_assign packet_content_mask offset_16-31 0x88640000 0x0 0x00210000 0x0 offset_32-47 0x00000011 0x0 0x0 0x0 offset_48-63 0x076c0000 0x0 0x0 0x0 port 1-24 deny
# 2869 (TCP)
config access_profile profile_id 5 add access_id auto_assign packet_content_mask offset_16-31 0x88640000 0x0 0x00210000 0x0 offset_32-47 0x00000006 0x0 0x0 0x0 offset_48-63 0x0b350000 0x0 0x0 0x0 port 1-24 deny


#------------------------------------------------------------------------------
# разрешение:
# ARP + PPPoE
create access_profile                               ethernet ethernet_type        profile_id 6
config access_profile profile_id 6 add access_id XX ethernet ethernet_type 0x806  port   XX permit
config access_profile profile_id 6 add access_id 25 ethernet ethernet_type 0x8863 port 1-24 permit
config access_profile profile_id 6 add access_id 50 ethernet ethernet_type 0x8864 port 1-24 permit


#------------------------------------------------------------------------------
# запрещение:
# бродкасты
create access_profile                              packet_content_mask offset_0-15 0xffffffff 0xffff0000 0x0 0x0 profile_id 7
config access_profile profile_id 7 add access_id 1 packet_content_mask offset_0-15 0xffffffff 0xffff0000 0x0 0x0 port 1-24 deny


#------------------------------------------------------------------------------
# разрешение:
# IP адреса
create access_profile                               ip source_ip_mask 255.255.255.255 profile_id 8
config access_profile profile_id 8 add access_id XX ip source_ip      111.222.333.444 port XX permit


#------------------------------------------------------------------------------
# запрещение:
# любой траффик
create access_profile                              ethernet source_mac 00-00-00-00-00-00 profile_id 9
config access_profile profile_id 9 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-24 deny

наглядно показывающие что в 3526 все прекрасно влазит

BTW, разрешать DHCP порты на 3526 нет необходимости, т.к. на 3526 DHCP Relay работает _до_ ACL, в отличие от 3028 где эти порты разрешать надо, т.к. там DHCP Relay работает _после_ ACL

_________________
с уважением, БП

Вернуться наверх

Negator1983

Заголовок сообщения:

Добавлено: Вт сен 14, 2010 16:12

Зарегистрирован: Чт фев 08, 2007 15:35
Сообщений: 274

запрещение внутри РРРоЕ:

добавлю что это работает только на нешифрованном соединении

Вернуться наверх

snark

Заголовок сообщения:

Добавлено: Вт сен 14, 2010 21:34

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13

Вы можете 2 слова "РРРоЕ" и "шифрование" поставить рядом? где Вы видели шифрованный РРРоЕ? Вы точно не путаете его с РРТР?

_________________
с уважением, БП

Вернуться наверх

Chupaka

Заголовок сообщения:

Добавлено: Вт сен 14, 2010 22:48

Зарегистрирован: Вт июн 17, 2008 18:59
Сообщений: 1203
Откуда: Минск, Беларусь

snark писал(а):

где Вы видели шифрованный РРРоЕ?

(O_o)

дык... везде?.. MPPE ещё никто не отменял, вроде...

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.

Вернуться наверх

snark

Заголовок сообщения:

Добавлено: Ср сен 15, 2010 15:39

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13

Chupaka писал(а):

snark писал(а):

где Вы видели шифрованный РРРоЕ?

дык... везде?.. MPPE ещё никто не отменял, вроде...

чего, чего??? где, где???
господа, при всем моем уважении к Вам как к Специалистам (да, с большой буквы) пожалуйста, вчитайтесь _внимательно_ в _буквы_!
Вы путаете РРТР т.е. Point-to-Point Tunneling Protocol (см. RFC 2637) который в общем то и поддерживает шифрование с помощью МРРЕ т.е. Microsoft Point-To-Point Encryption (см. RFC 3078) с PPPoE т.е. PPP over Ethernet (см. RFC 2516) который _нативно_ т.е. если не пытаться туда его прикрутить _специально_ про МРРЕ знать ничего не знает ...
я понимаю что бывают случаи когда к РРРоЕ вместо родного РАР прикручивают СНАР, а попутно еще и шифрацию, но это в общем виде рукоблудие, т.к. по дефолту в РРРоЕ этого ничего нету

_________________
с уважением, БП

Вернуться наверх

Chupaka

Заголовок сообщения:

Добавлено: Ср сен 15, 2010 17:44

Зарегистрирован: Вт июн 17, 2008 18:59
Сообщений: 1203
Откуда: Минск, Беларусь

всё же позволю себе не согласиться...

PPP - основа. CCP добавляет в PPP сжатие, MPPE - шифрование

идём дальше. PPTP позволяет туннелировать PPP через IP-сети (PPTP does not specify any changes to the PPP protocol but rather describes a new vehicle for carrying PPP). PPPoE инкапсулирует PPP в Ethernet-фреймы. это никак не влияет на сам PPP - лишь способ передачи...

как-то так...

Вернуться наверх

snark

Заголовок сообщения:

Добавлено: Чт сен 16, 2010 12:34

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13

это все правильно, но ... вот Вы видели шифрованный РРРоЕ? из коробки?

_________________
с уважением, БП

Вернуться наверх

Chupaka

Заголовок сообщения:

Добавлено: Пт сен 17, 2010 15:11

Зарегистрирован: Вт июн 17, 2008 18:59
Сообщений: 1203
Откуда: Минск, Беларусь

что называть коробкой? коммерческие продукты? MikroTik RouterOS + нативный клиент Windows XP? =)

Вернуться наверх

barguzin2

Заголовок сообщения:

Добавлено: Пт сен 17, 2010 16:11

Зарегистрирован: Пт май 22, 2009 07:59
Сообщений: 207

В виндовом подключении PPPoE можно включить любой тип авторизаци + шифрование. На циске на VT-интерфейсе прописывай ppp encrypt и вперед. Чем не коробочный вариант, напильником работать не надо. И хватит уже топик мучить, отклонились от курса....

Вернуться наверх

Страница 2 из 2

[ Сообщений: 24 ]

На страницу Пред. 1, 2

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 160

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения