D-Link • Просмотр темы - DGS 3200-24 и блокировка IPv6 трафика.

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

DGS 3200-24 и блокировка IPv6 трафика.

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 1

[ Сообщений: 14 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

tetera

Заголовок сообщения: DGS 3200-24 и блокировка IPv6 трафика.

Добавлено: Пн окт 18, 2010 11:21

Зарегистрирован: Пн янв 25, 2010 20:22
Сообщений: 49

Добрый день..
свитч DGS-3200-24 FW:1.62.B017

необходимо ограничить на опред портах весь трафик кроме РРРоЕ
вот правила

Код:

# ACL
create access_profile profile_id 1 ethernet ethernet_type 
config access_profile profile_id 1 add access_id 1 ethernet ethernet_type 0x8863  port 11,15 permit rx_rate no_limit 
config access_profile profile_id 1 add access_id 2 ethernet ethernet_type 0x8864  port 11,15 permit rx_rate no_limit 
config access_profile profile_id 1 add access_id 3 ethernet ethernet_type 0x86DD  port 11,13,15 deny 
config access_profile profile_id 1 add access_id 4 ethernet ethernet_type 0x800  port 11,15 deny 
config access_profile profile_id 1 add access_id 5 ethernet ethernet_type 0x806  port 11,15 deny 
config access_profile profile_id 1 add access_id 6 ethernet ethernet_type 0xE0  port 11,15 deny 
disable cpu_interface_filtering 

собсно третье правило запрещает прохождение пакетов IPv6 на 11,13,15 портах
но снифиром вижу такую картину

Код:

08:50.758649 00:26:9e:7d:6d:f3 > 33:33:00:01:00:02, ethertype IPv6 (0x86dd), length 159: fe80::5482:a4:434:5542.546 > ff02::1:2.547: dhcp6 solicit
08:51.241596 00:04:61:45:b4:08 > 33:33:00:01:00:02, ethertype IPv6 (0x86dd), length 147: fe80::5d7d:2dfd:4d08:4093.546 > ff02::1:2.547: dhcp6 solicit
08:51.673030 00:13:60:ec:ab:9a > 01:00:0c:cc:cc:cd, 802.3, length 64: LLC, dsap SNAP (0xaa) Individual, ssap SNAP (0xaa) Command, ctrl 0x03: oui Cisco (0x00000c), pid PVST (0x010b): STP 802.1d, Config, Flags [none], bridge-id 8259.00:18:74:2c:37:00.800f, length 42
08:51.678114 00:24:01:fc:2f:4f > cf:00:00:00:00:00, ethertype Loopback (0x9000), length 60: 
08:51.678274 00:24:01:fc:2f:59 > cf:00:00:00:00:00, ethertype Loopback (0x9000), length 60: 
08:51.681297 00:24:01:fc:2f:59 > cf:00:00:00:00:00, ethertype Loopback (0x9000), length 60: 
08:52.407674 00:1e:90:8e:88:29 > 33:33:ff:34:55:42, ethertype IPv6 (0x86dd), length 86: fe80::dc45:3832:5581:f2a4 > ff02::1:ff34:5542: ICMP6, neighbor solicitation, who has fe80::5482:a4:434:5542, length 32                            
08:52.407927 00:26:9e:7d:6d:f3 > 33:33:ff:81:f2:a4, ethertype IPv6 (0x86dd), length 86: fe80::5482:a4:434:5542 > ff02::1:ff81:f2a4: ICMP6, neighbor solicitation, who has fe80::dc45:3832:5581:f2a4, length 32                            
08:52.675146 00:24:01:fc:2f:4f > cf:00:00:00:00:00, ethertype Loopback (0x9000), length 60:                                                                                                                                               
08:52.676204 00:24:01:fc:2f:59 > cf:00:00:00:00:00, ethertype Loopback (0x9000), length 60:                                                                                                                                               
08:52.678366 00:24:01:fc:2f:59 > cf:00:00:00:00:00, ethertype Loopback (0x9000), length 60:                                                                                                                                               
08:53.675171 00:24:01:fc:2f:4f > cf:00:00:00:00:00, ethertype Loopback (0x9000), length 60:                                                                                                                                               
08:53.675173 00:24:01:fc:2f:59 > cf:00:00:00:00:00, ethertype Loopback (0x9000), length 60:                                                                                                                                               
08:53.677781 00:24:01:fc:2f:59 > cf:00:00:00:00:00, ethertype Loopback (0x9000), length 60:                                                                                                                                               
08:53.686943 00:13:60:ec:ab:9a > 01:00:0c:cc:cc:cd, 802.3, length 64: LLC, dsap SNAP (0xaa) Individual, ssap SNAP (0xaa) Command, ctrl 0x03: oui Cisco (0x00000c), pid PVST (0x010b): STP 802.1d, Config, Flags [none], bridge-id 8259.00:18:74:2c:37:00.800f, length 42                                                                                                                                                                                                               
08:54.678544 00:24:01:fc:2f:4f > cf:00:00:00:00:00, ethertype Loopback (0x9000), length 60:                                                                                                                                               
08:54.678546 00:24:01:fc:2f:59 > cf:00:00:00:00:00, ethertype Loopback (0x9000), length 60:                                                                                                                                               
08:54.680811 00:24:01:fc:2f:59 > cf:00:00:00:00:00, ethertype Loopback (0x9000), length 60:                                                                                                                                               
08:54.759106 00:26:9e:7d:6d:f3 > 33:33:00:01:00:02, ethertype IPv6 (0x86dd), length 159: fe80::5482:a4:434:5542.546 > ff02::1:2.547: dhcp6 solicit                                                                                        
08:55.106095 00:1a:4d:98:43:fd > 33:33:ff:eb:9d:5a, ethertype IPv6 (0x86dd), length 86: fe80::6094:498c:2e8b:df0a > ff02::1:ffeb:9d5a: ICMP6, neighbor solicitation, who has fe80::4c55:544f:7eeb:9d5a, length 32                         
08:55.609972 40:61:86:1d:65:d1 > 33:33:00:01:00:02, ethertype IPv6 (0x86dd), length 156: fe80::241d:80ef:dfed:221.546 > ff02::1:2.547: dhcp6 solicit                                                                                      
08:55.675328 00:24:01:fc:2f:4f > cf:00:00:00:00:00, ethertype Loopback (0x9000), length 60:                                                                                                                                               
08:55.675465 00:24:01:fc:2f:59 > cf:00:00:00:00:00, ethertype Loopback (0x9000), length 60:                                                                                                                                               
08:55.677756 00:24:01:fc:2f:59 > cf:00:00:00:00:00, ethertype Loopback (0x9000), length 60:                                                                                                                                               
08:55.700002 00:13:60:ec:ab:9a > 01:00:0c:cc:cc:cd, 802.3, length 64: LLC, dsap SNAP (0xaa) Individual, ssap SNAP (0xaa) Command, ctrl 0x03: oui Cisco (0x00000c), pid PVST (0x010b): STP 802.1d, Config, Flags [none], bridge-id 8259.00:18:74:2c:37:00.800f, length 42

получается, что IPv4, ARP, IPX запрещены - а IPv6 нет..
понимаю, что можно попробовать запретить прохождение IPv6 другим путем - но хотелось бы использовать Ethernet тип.

Жду предложений - может, что не так делаю??

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Пн окт 18, 2010 11:46

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

Sniffer к какому порту подключён?

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

tetera

Заголовок сообщения:

Добавлено: Пн окт 18, 2010 11:56

Зарегистрирован: Пн янв 25, 2010 20:22
Сообщений: 49

к 13, пакеты приходят с 11 и 15 порта.
еще забыл указать, пакеты на свитче ходят через 40 и 30 вланы...
пробовал делать Ethernet ACL как тагед так и не тагед

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Пн окт 18, 2010 12:19

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

Вам нужно продублировать блокировку по ethernet_type 0x86DD в CPU ACL.

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

tetera

Заголовок сообщения:

Добавлено: Пн окт 18, 2010 12:30

Зарегистрирован: Пн янв 25, 2010 20:22
Сообщений: 49

Bigarov Ruslan писал(а):

Вам нужно продублировать блокировку по ethernet_type 0x86DD в CPU ACL.

я тоже пробовал так сделать.. но результата не было - пробую еще раз.

Вернуться наверх

tetera

Заголовок сообщения: в продолжение

Добавлено: Пн окт 18, 2010 12:38

Зарегистрирован: Пн янв 25, 2010 20:22
Сообщений: 49

добавил к правилам...

Код:

create cpu access_profile profile_id 1 ethernet ethernet_type 
config cpu access_profile profile_id 1 add access_id 1 ethernet ethernet_type 0x86DD  port 11,13,15 deny 
enable cpu_interface_filtering 

результат тот же.

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Пн окт 18, 2010 13:59

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

Пришлите, пожалуйста, мне sniff в сар формате на e-mail, я проверю.

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

tetera

Заголовок сообщения:

Добавлено: Пн окт 18, 2010 17:07

Зарегистрирован: Пн янв 25, 2010 20:22
Сообщений: 49

какие ключи для tcpdump нужно поставить для достижения точного эффекта ?
tcpdump -v -w tcpdump.cap -xX -s 0 вот такое пойдет ?

Вернуться наверх

Alexandr Zaitsev

Заголовок сообщения:

Добавлено: Вт окт 19, 2010 11:59

Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow

Да, только вместо -v лучше использовать -vvv

Вернуться наверх

tetera

Заголовок сообщения:

Добавлено: Вт окт 19, 2010 23:04

Зарегистрирован: Пн янв 25, 2010 20:22
Сообщений: 49

Bigarov Ruslan писал(а):

Пришлите, пожалуйста, мне sniff в сар формате на e-mail, я проверю.

отправил лог тспдампа - с нетерпением утром жду ответа..
сори в письме забыл указать параметры с которыми запускал снифер..

Код:

tcpdump -vvvxXenw /tmp/tcpdumpIPv6.cap -s 0 -i em2 not ether proto 0x8864 and not ether proto 0x8863

Вернуться наверх

barguzin2

Заголовок сообщения:

Добавлено: Ср окт 20, 2010 05:09

Зарегистрирован: Пт май 22, 2009 07:59
Сообщений: 207

ethernet_type 0xE0
Это какой протокол этим эзертайп хотите зарезать ?

Вернуться наверх

tetera

Заголовок сообщения:

Добавлено: Ср окт 20, 2010 14:07

Зарегистрирован: Пн янв 25, 2010 20:22
Сообщений: 49

barguzin2 писал(а):

ethernet_type 0xE0
Это какой протокол этим эзертайп хотите зарезать ?

Код:

802.2  (Novell) comprises 802.3 frame header (destination, source, length) followed by LLC header (3 bytes - 0xE0, 0xE0, 0x03) followed by IPX data. 0xE0 fields of LLC header stand for 'Novell' protocol.

мне он не нужен, а он ко мне приходит - если я не прав плиз поправте.

Вернуться наверх

d-_-b

Заголовок сообщения: Re: DGS 3200-24 и блокировка IPv6 трафика.

Добавлено: Вт июл 19, 2011 11:23

Зарегистрирован: Вт авг 25, 2009 14:21
Сообщений: 25

А разве нельзя разрешить только нужные протоколы и запретить все остальные?

Вернуться наверх

SpiderX

Заголовок сообщения: Re: DGS 3200-24 и блокировка IPv6 трафика.

Добавлено: Вт июл 19, 2011 12:57

Зарегистрирован: Чт дек 24, 2009 17:30
Сообщений: 296
Откуда: Днепропетровск

Цитата:

А разве нельзя разрешить только нужные протоколы и запретить все остальные?

Если все, что планируется блокировать через ACL, это только ethertype'ы, то можно, в противном случае — нельзя.

Вернуться наверх

Страница 1 из 1

[ Сообщений: 14 ]

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 178

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения