D-Link • Просмотр темы - DES-3526 DES-3200 набор фильтров IP + MAC+ PCM

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

DES-3526 DES-3200 набор фильтров IP + MAC+ PCM

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 2 из 2

[ Сообщений: 23 ]

На страницу Пред. 1, 2

Предыдущая тема | Следующая тема

Автор

Сообщение

Denis Evgraphov

Заголовок сообщения:

Добавлено: Пт окт 01, 2010 16:38

Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan

Приведите, пожалуйста, итоговый вариант правил, к которому Вы пришли.

Вернуться наверх

IvanI

Заголовок сообщения:

Добавлено: Пт окт 01, 2010 16:41

Зарегистрирован: Сб дек 09, 2006 11:21
Сообщений: 237

Мне интересно сколько времени понадобится славной фирме Длинк чтоб разобраться чтоже они сотворили в софте DES-3200-24.

Вернуться наверх

Denis Evgraphov

Заголовок сообщения:

Добавлено: Пт окт 01, 2010 16:51

Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan

Поведение известно и я Вам его озвучил, поэтому и прошу Вас показать конечный вариант.

Вернуться наверх

IvanI

Заголовок сообщения:

Добавлено: Пт окт 01, 2010 17:03

Зарегистрирован: Сб дек 09, 2006 11:21
Сообщений: 237

Код:

create access_profile packet_content_mask offset1 l2 0 0xFFFF offset2 l2 18 0xFF profile_id 1
config access_profile profile_id 1 add access_id 1 packet_content offset1 0x0806 offset2 0x0031 port 1-24 deny
create access_profile packet_content_mask offset1 l2 0 0xFFFF offset2 l2 2 0xFFFF offset3 l2 4 0xFFFF offset4 l2 6 0xFFFF offset5 l2 16 0xFFFF offset6 l2 18 0xFF00 offset7 l2 26 0xFFFF offset8 l2 28 0xFF00 profile_id 2
config access_profile profile_id 2 add access_id 1 packet_content offset1 0x0806 offset2 0x0001 offset3 0x0800 offset4 0x0604 offset5 0xc0a8 offset6 0x1000 offset7 0xc0a8 offset8 0x1000 port 18-24 permit priority 5 replace_priority replace_dscp_with 32 counter enable 
config access_profile profile_id 2 add access_id 2 packet_content offset1 0x0806 offset2 0x0001 offset3 0x0800 offset4 0x0604 offset5 0xc0a8 offset6 0x1800 offset7 0xc0a8 offset8 0x1800 port 16-17 permit priority 5 replace_priority replace_dscp_with 32 counter enable 
create access_profile packet_content_mask offset1 l2 0 0xFFFF profile_id 3
config access_profile profile_id 3 add access_id 1 packet_content offset1 0x0806 port 1-24 deny
create access_profile ethernet ethernet_type profile_id 4
config access_profile profile_id 4 add access_id 1 ethernet ethernet_type 0x0806 port 1-24 permit counter enable 
create access_profile ip destination_ip 255.255.255.255 udp dst_port_mask 0xFFFF profile_id 13
config access_profile profile_id 13 add access_id 1 ip destination_ip 255.255.255.255 udp dst_port 67 port 1-24 permit priority 5 replace_priority replace_dscp_with 32 
create access_profile ip udp dst_port_mask 0xFFFF profile_id 14
config access_profile profile_id 14 add access_id 1 ip udp dst_port 68 port 1-24 deny
create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF profile_id 15
config access_profile profile_id 15 add access_id 1 ethernet destination_mac FF-FF-FF-FF-FF-FF port 1-24 deny
config access_profile profile_id 15 add access_id 2 ethernet destination_mac 00-00-00-00-00-00 port 1-24 deny
create access_profile ip source_ip 255.255.255.0 destination_ip 255.255.255.0 profile_id 16
config access_profile profile_id 16 add access_id 1 ip source_ip 192.168.16.0 destination_ip 192.168.20.0 port 18-24 permit priority 6 replace_priority replace_dscp_with 48 
config access_profile profile_id 16 add access_id 2 ip source_ip 192.168.24.0 destination_ip 192.168.20.0 port 16-17 permit priority 6 replace_priority replace_dscp_with 48 
create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF profile_id 17
config access_profile profile_id 17 add access_id 1 ethernet source_mac 00-00-11-22-33-44 port 1 deny
create access_profile ip source_ip 255.255.255.0 profile_id 18
config access_profile profile_id 18 add access_id 1 ip source_ip 192.168.24.0 port 16-17 permit priority 1 replace_priority replace_dscp_with 5 
config access_profile profile_id 18 add access_id 2 ip source_ip 192.168.16.0 port 18-24 permit priority 1 replace_priority replace_dscp_with 5 
create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 19
config access_profile profile_id 19 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-24 deny

Вернуться наверх

Denis Evgraphov

Заголовок сообщения:

Добавлено: Пт окт 01, 2010 17:21

Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan

Все верно, Вы же добавили эту вставку для протокола ARP между старыми профилями 2 и 9, картина и поменялась:

Код:

create access_profile packet_content_mask offset1 l2 0 0xFFFF profile_id 3
config access_profile profile_id 3 add access_id 1 packet_content offset1 0x0806 port 1-24 deny

create access_profile ethernet ethernet_type profile_id 4
config access_profile profile_id 4 add access_id 1 ethernet ethernet_type 0x0806 port 1-24 permit counter enable

Вернуться наверх

IvanI

Заголовок сообщения:

Добавлено: Пт окт 01, 2010 17:37

Зарегистрирован: Сб дек 09, 2006 11:21
Сообщений: 237

но от этого "пересечения между группами" не исчезло

Цитата:

в случае пересечения между группами более приоритетным будет запрещающее правило.

а на самом деле трафик прошедший(не дропнутый) packet_content акл дальше фильтруется IP? и Ethernet! акл.

Последний раз редактировалось IvanI Пт окт 01, 2010 20:53, всего редактировалось 1 раз.

Вернуться наверх

IvanI

Заголовок сообщения:

Добавлено: Пт окт 01, 2010 19:20

Зарегистрирован: Сб дек 09, 2006 11:21
Сообщений: 237

Возможно в моих правилах еще можно сэкономить 3 офсета, попробую на следующей неделе.

Код:

create access_profile packet_content_mask offset1 l2 0 0xFFFF offset2 l2 2 0xFFFF offset3 l2 4 0xFFFF offset4 l2 6 0xFFFF offset5 l2 16 0xFFFF offset6 l2 18 0xFFFF offset7 l2 26 0xFFFF offset8 l2 28 0xFF00 profile_id 2
config access_profile profile_id 2 add access_id 1 packet_content offset1 0x0806 offset6 0x0031 mask 0x00ff port 1-24 deny
config access_profile profile_id 2 add access_id 118 packet_content offset1 0x0806 offset2 0x0001 offset3 0x0800 offset4 0x0604 offset5 0xc0a8 offset6 0x1000 mask 0xff00 offset7 0xc0a8 offset8 0x1000 port 18 permit priority 5 replace_priority replace_dscp_with 32 counter enable
config access_profile profile_id 2 add access_id 200 packet_content offset1 0x0806 port 1-24 deny

Так работать будет, вместо 1-3 профиля?

Вернуться наверх

Denis Evgraphov

Заголовок сообщения:

Добавлено: Пн окт 04, 2010 10:12

Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan

IvanI писал(а):

но от этого "пересечения между группами" не исчезло

Цитата:

в случае пересечения между группами более приоритетным будет запрещающее правило.

а на самом деле трафик прошедший(не дропнутый) packet_content акл дальше фильтруется IP? и Ethernet! акл.

Это как в вышке - у Вас два множества:
A (с offset):

Код:

create access_profile packet_content_mask offset1 l2 0 0xFFFF offset2 l2 2 0xFFFF offset3 l2 4 0xFFFF offset4 l2 6 0xFFFF offset5 l2 16 0xFFFF offset6 l2 18 0xFF00 offset7 l2 26 0xFFFF offset8 l2 28 0xFF00 profile_id 2
config access_profile profile_id 2 add access_id 1 packet_content offset1 0x0806 offset2 0x0001 offset3 0x0800 offset4 0x0604 offset5 0xc0a8 offset6 0x1000 offset7 0xc0a8 offset8 0x1000 port 1-24 permit priority 5  replace_priority replace_dscp_with 32 counter enable

create access_profile packet_content_mask offset1 l2 0 0xFFFF profile_id 3
config access_profile profile_id 3 add access_id 1 packet_content offset1 0x0806 port 1-24 deny

B (без offset):

Код:

create access_profile ethernet ethernet_type profile_id 4
config access_profile profile_id 4 add access_id 1 ethernet ethernet_type 0x0806 port 1-24 permit counter enable

create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 19
config access_profile profile_id 19 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-24 deny

B разрешает весь ARP, A разрешает определенный ARP

Пересечением этих двух множеств будет то, что принадлежит и тому и другому множеству одновременно, то есть A.

IvanI писал(а):

Возможно в моих правилах еще можно сэкономить 3 офсета, попробую на следующей неделе.

Код:

create access_profile packet_content_mask offset1 l2 0 0xFFFF offset2 l2 2 0xFFFF offset3 l2 4 0xFFFF offset4 l2 6 0xFFFF offset5 l2 16 0xFFFF offset6 l2 18 0xFFFF offset7 l2 26 0xFFFF offset8 l2 28 0xFF00 profile_id 2
config access_profile profile_id 2 add access_id 1 packet_content offset1 0x0806 offset6 0x0031 mask 0x00ff port 1-24 deny
config access_profile profile_id 2 add access_id 118 packet_content offset1 0x0806 offset2 0x0001 offset3 0x0800 offset4 0x0604 offset5 0xc0a8 offset6 0x1000 mask 0xff00 offset7 0xc0a8 offset8 0x1000 port 18 permit priority 5 replace_priority replace_dscp_with 32 counter enable
config access_profile profile_id 2 add access_id 200 packet_content offset1 0x0806 port 1-24 deny

Так работать будет, вместо 1-3 профиля?

Можно и так.

Вернуться наверх

Страница 2 из 2

[ Сообщений: 23 ]

На страницу Пред. 1, 2

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 31

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения