1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Вс июл 20, 2025 23:40

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 12 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
shaytan
 Заголовок сообщения: DES-3200-28 PCF
СообщениеДобавлено: Чт июн 10, 2010 08:37 
Не в сети

Зарегистрирован: Сб дек 10, 2005 15:01
Сообщений: 10
Откуда: Spb
Не получается обуздать PCF на этой железке.

Для теста пытаюсь создать правило запрещающее ARP (eth type=0x806)

Код:
create access_profile  packet_content_mask   offset1 l2 12 0xFFFF profile_id 1
config access_profile profile_id 1  add access_id 1  packet_content   offset1 0x0806   mask 0x0000 port 18 deny


После этого перестаёт ходить весь трафик, а не только ARP. Что не так?

PS. Вообще при создании любого PCF правила перестаёт ходить весь трафик.


Последний раз редактировалось shaytan Чт июн 10, 2010 10:33, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
shaytan
 Заголовок сообщения:
СообщениеДобавлено: Чт июн 10, 2010 09:10 
Не в сети

Зарегистрирован: Сб дек 10, 2005 15:01
Сообщений: 10
Откуда: Spb
Отвечу сам себе.
Задал смещение 0 для eth type, и маску в правиле 0xFFFF arp стал блокироваться.
т.е. смещение для L2 задаётся не от начала L2 заголовка.
Вернуться наверх
 Профиль  
 
shaytan
 Заголовок сообщения:
СообщениеДобавлено: Чт июн 10, 2010 09:56 
Не в сети

Зарегистрирован: Сб дек 10, 2005 15:01
Сообщений: 10
Откуда: Spb
Продолжаем тему:
Задача запретить все арп кроме разрешённых. Для этого делаем профиль с номером 5 где арп разрешаем, и профиль с номером 6 в котором запрещаем. В итоге последнее правило перекрывает вышестоящее.

Код:
Command: show access_profile

Access Profile Table

================================================================================
Profile ID: 5                          Type: Packet Content Frame Filter
================================================================================
Owner: ACL
Masks  Option
Offset1 :   Byte 0  of L2    Value: 0xFFFF

--------------------------------------------------------------------------------
Access ID : 13
Ports     : 18
Mode      : Permit
Offset1  Value:       0x0806

================================================================================
Profile ID: 6                          Type: Ethernet Frame Filter
================================================================================
Owner: ACL
Masks  Option
Eth Type
--------


--------------------------------------------------------------------------------
Access ID : 1
Ports     : 18
Mode      : Deny

Eth Type

--------
0x0806

================================================================================
Total Profile Entries: 2

Total Used Rule Entries: 2

Total Unused Rule Entries: 510


В каком порядке отрабатываются правила в этом коммутаторе?


Последний раз редактировалось shaytan Чт июн 10, 2010 14:51, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
shaytan
 Заголовок сообщения:
СообщениеДобавлено: Чт июн 10, 2010 14:43 
Не в сети

Зарегистрирован: Сб дек 10, 2005 15:01
Сообщений: 10
Откуда: Spb
Есть идеи?
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения:
СообщениеДобавлено: Чт июн 10, 2010 15:17 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Для запрещающего правила нужно использовать PCF, содержащий хотя бы один offset, пусть даже пустой.
Вернуться наверх
 Профиль  
 
shaytan
 Заголовок сообщения:
СообщениеДобавлено: Чт июн 10, 2010 15:56 
Не в сети

Зарегистрирован: Сб дек 10, 2005 15:01
Сообщений: 10
Откуда: Spb
Да, такой способ работоспособен.

Это такой walkaround или логика просмотра ACL таблицы в этой модели, в которой PCF правила просматриваются как то отдельно от общей цепочки правил?
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения:
СообщениеДобавлено: Чт июн 10, 2010 16:06 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
На данной серии профили разделяются на две группы - с offset и без, при наличии противоречия между группами (пакет попадает под обе группы) приоритетным будет запрещающее правило.
Я выслал Вам пример на почту.
Вернуться наверх
 Профиль  
 
shaytan
 Заголовок сообщения:
СообщениеДобавлено: Пт июн 11, 2010 09:20 
Не в сети

Зарегистрирован: Сб дек 10, 2005 15:01
Сообщений: 10
Откуда: Spb
Хорошо, тогда что не так в такой конфигурации:
Сначала разрешаем ip профилем №4 трафик с определённых ip, потом при помощи PCF профиля №5 со смещением разрешаем ARP и запрещаем всё остальное PCF профилем со смещением №6, результат - ничего не ходит.

Код:
create access_profile  ip  source_ip 255.255.255.255  profile_id 4
config access_profile profile_id 4  add access_id 1  ip  source_ip 10.xx.19.198  port 15 permit
config access_profile profile_id 4  add access_id 2  ip  source_ip 10.xx.19.220  port 14 permit
config access_profile profile_id 4  add access_id 3  ip  source_ip 10.xx.19.209  port 7 permit
config access_profile profile_id 4  add access_id 4  ip  source_ip 10.xx.19.235  port 11 permit
config access_profile profile_id 4  add access_id 5  ip  source_ip 10.xx.19.221  port 16 permit
config access_profile profile_id 4  add access_id 10  ip  source_ip 10.xx.19.201  port 24 permit
config access_profile profile_id 4  add access_id 13  ip  source_ip 10.xx.19.233  port 18 permit
config access_profile profile_id 4  add access_id 14  ip  source_ip 10.xx.19.193  port 6 permit
config access_profile profile_id 4  add access_id 47  ip  source_ip 10.xx.19.217  port 3 permit
config access_profile profile_id 4  add access_id 56  ip  source_ip 10.xx.19.194  port 13 permit
config access_profile profile_id 4  add access_id 75  ip  source_ip 10.xx.19.195  port 12 permit

create access_profile  packet_content_mask   offset1 l2 0 0xFFFF  offset2 l2 10 0xFFFF  offset3 l2 12 0xFFFF  offset4 l2 14 0xFFFF  offset5 l2 16 0xFFFF  offset6 l2 18 0xFFFF  profile_id 5
config access_profile profile_id 5  add access_id 1  packet_content   offset1 0x0806   mask 0xffff offset2 0x00a0   mask 0xffff offset3 0x0005   mask 0xffff offset4 0xbda3   mask 0xffff offset5 0x0a31   mask 0xffff offset6 0x13c6   maskffff port 15 permit
config access_profile profile_id 5  add access_id 2  packet_content   offset1 0x0806   mask 0xffff offset2 0x0030   mask 0xffff offset3 0x4f61   mask 0xffff offset4 0x13c4   mask 0xffff offset5 0x0a31   mask 0xffff offset6 0x13dc   maskffff port 14 permit
config access_profile profile_id 5  add access_id 3  packet_content   offset1 0x0806   mask 0xffff offset2 0x001f   mask 0xffff offset3 0xc6a4   mask 0xffff offset4 0x98bf   mask 0xffff offset5 0x0a31   mask 0xffff offset6 0x13d1   maskffff port 7 permit
config access_profile profile_id 5  add access_id 4  packet_content   offset1 0x0806   mask 0xffff offset2 0x0024   mask 0xffff offset3 0x0112   mask 0xffff offset4 0x54b5   mask 0xffff offset5 0x0a31   mask 0xffff offset6 0x13eb   maskffff port 11 permit
config access_profile profile_id 5  add access_id 5  packet_content   offset1 0x0806   mask 0xffff offset2 0x001e   mask 0xffff offset3 0x8cd8   mask 0xffff offset4 0xec0b   mask 0xffff offset5 0x0a31   mask 0xffff offset6 0x13dd   maskffff port 16 permit
config access_profile profile_id 5  add access_id 10  packet_content   offset1 0x0806   mask 0xffff offset2 0x001e   mask 0xffff offset3 0xec52   mask 0xffff offset4 0x31d0   mask 0xffff offset5 0x0a31   mask 0xffff offset6 0x13c9   masxffff port 24 permit
config access_profile profile_id 5  add access_id 13  packet_content   offset1 0x0806   mask 0xffff offset2 0x00a0   mask 0xffff offset3 0xd1c8   mask 0xffff offset4 0xbcf8   mask 0xffff offset5 0x0a31   mask 0xffff offset6 0x13e9   masxffff port 18 permit
config access_profile profile_id 5  add access_id 14  packet_content   offset1 0x0806   mask 0xffff offset2 0x0040   mask 0xffff offset3 0xf4ea   mask 0xffff offset4 0x6a4a   mask 0xffff offset5 0x0a31   mask 0xffff offset6 0x13c1   masxffff port 6 permit
config access_profile profile_id 5  add access_id 47  packet_content   offset1 0x0806   mask 0xffff offset2 0x001d   mask 0xffff offset3 0x7d9f   mask 0xffff offset4 0x3beb   mask 0xffff offset5 0x0a31   mask 0xffff offset6 0x13d9   masxffff port 3 permit
config access_profile profile_id 5  add access_id 56  packet_content   offset1 0x0806   mask 0xffff offset2 0x0040   mask 0xffff offset3 0xf4ea   mask 0xffff offset4 0x635a   mask 0xffff offset5 0x0a31   mask 0xffff offset6 0x13c2   masxffff port 13 permit
config access_profile profile_id 5  add access_id 75  packet_content   offset1 0x0806   mask 0xffff offset2 0x0013   mask 0xffff offset3 0x8f30   mask 0xffff offset4 0xfb70   mask 0xffff offset5 0x0a31   mask 0xffff offset6 0x13c3   masxffff port 12 permit
config access_profile profile_id 5  add access_id 90  packet_content   offset1 0x0806   mask 0xffff offset2 0x0022   mask 0xffff offset3 0x1538   mask 0xffff offset4 0xc437   mask 0xffff offset5 0x0a31   mask 0xffff offset6 0x13c5   masxffff port 1 permit

create access_profile  packet_content_mask   offset1 l2 0 0x0  profile_id 6
config access_profile profile_id 6  add access_id 1  packet_content   offset1 0x0000 port 1-24 deny


Получается нужно запретить левые arp при помощи PCF правила со смещением и отдельно создать профиль без смещения запрещающий всё остальное?
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения:
СообщениеДобавлено: Пт июн 11, 2010 12:04 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Если пакет попадает под обе группы правил (с offset и без), то нужно переделать 4-ый профиль под PCF.
Вернуться наверх
 Профиль  
 
comtel-b.ru
 Заголовок сообщения:
СообщениеДобавлено: Пт июн 11, 2010 13:15 
Не в сети

Зарегистрирован: Чт апр 24, 2008 11:50
Сообщений: 335
А логика работы ACL изменится вообще на этой серии или так и останется кривой?
Вернуться наверх
 Профиль  
 
gorbushka
 Заголовок сообщения:
СообщениеДобавлено: Пт окт 01, 2010 12:37 
Не в сети

Зарегистрирован: Пн май 21, 2007 11:33
Сообщений: 55
скажите, в актуальных релизах прошивки логика работы не изменилась?
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения:
СообщениеДобавлено: Пт окт 01, 2010 13:00 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Изменений в этом плане не было.
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 12 ] 

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 229

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB