Задача - фильтровать поддельние ARP пакети. Делаем по примеру документации на 3528 (файл xStack_DES-3528_Series_CLI Manual_v2.0(W) страничка 501).

Переделиваем правила под 3200 (из-за особенностей 3200 получается монстрообразное правило - см. http://forum.dlink.ru/viewtopic.php?t=129789):

create access_profile packet_content_mask source_mac FF-FF-FF-FF-FF-FF offset1 l2 0 0xFFFF offset2 l3 8 0xFFFF offset3 l3 10 0xFFFF offset4 l3 12 0xFFFF offset5 l3 14 0xFFFF offset6 l3 16 0xFFFF offset7 l3 18 0xFFFF offset8 l4 2 0xFFFF profile_id 10

и запрещаем ВСЕ:

config access_profile profile_id 10 add access_id 10000 packet_content source_mac 00-00-00-00-00-00 mask 00-00-00-00-00-00 offset1 0x0 mask 0x0 offset2 0x0 mask 0x0 offset3 0x0 mask 0x0 offset4 0x0 mask 0x0 offset5 0x0 mask 0x0 offset6 0x0 mask 0x0 offset7 0x0 mask 0x0 offset8 0x0 mask 0x0 port 1-24 deny

ІР трафик не ходит. Но в табличке FDB есть маки, вишестоящий L3 роутер (включен на 25 порт) видит ARP (соответственно не забиваем очистить arpentry перед проверкой).

Где ошибка?

Как-би дальши и писать нет смисла, ибо ARP не блокируются вообще

Укажите, пожалуйста, версию прошивки на коммутаторе.

Firmware: Build 1.21.B006


P.S.

А такое правило - блокирует все, включая ARP.

create access_profile packet_content_mask destination_mac 00-00-00-00-00-00 profile_id 11

config access_profile profile_id 11 add access_id 1 packet_content
destination_mac 00-00-00-00-00-00 mask 00-00-00-00-00-00 port 1 deny.

Развиваем тему дальше:



Затем делаем



И 00-E0-4D-06-B3-69 пропадает полность и сразу (понятно что ARP с такими правилами работать не будет, но так-как кеш ARP не очищаем, как минимум 300 секунд у нас есть)

Или єто подвид того случая, когда при использовании правил с offset и без предпочтение отдается запрещающему?

Интерестное дело Делаешь так:




Очищаем ARP кеш - все ок. (В смисле, что АРП запрос проходит нормлаьно)

А переносим разрешающее правило на ARP в предидущее правило :





Все глохнет. (АРП не ходят) В чем подвох?

Для серии DES-3200 в случае использования PCF правил, содержащих offset, все правила на коммутаторе делятся на две группы: в первую попадают все правила, содержащие offset, во вторую все правила не содержащие offset. В случае если пакет попадает под обе группы, приоритетным будет запрет, в случае его присутствия для указанного трафика в одной из групп.

Здорово. И все-таки. Что с АРП по первому посту? И что за оригинальное поведение в последнем посту?

И самое главное? Как с єтим жить? Вот сейчас сижу и думаю, заказивать следующую партию 3200-26 или взять партию Foxgate-6224S2 на 50$ дешевле и тоже не умеет работать с АРП?

Не совсем понятно, зачем применять правила, содержащие выборку из L4 части к протоколу ARP. Такие правила и не должны срабатывать.

А почему? Маска указана как 0x0. Значит не учитиваем ето поле. Или нельзя в одном правиле комбинировать L2 и L4?

В общем задача стоит такая:

1. Запретить порти (136-139,445)
2. Разрешить АРП с диапазона адресов (для незарегистрированних юзеров)
3. Разрешить ІР с диапазона адресов на диапазон адресов (для незарегистрированних юзеров только локалка)
4. Разрешить ІР для пар МАС и ІР куда угодно (для тех кто зарегестрирован)
5. Разрешить АРП для пар МАС и ІР
6. Запретить для всех

В связи с тем, что нельзя комбинировать правила с офсет и без, создается одно правило на все случаи жизни. (если сможете написать иначе - буду только рад)

create access_profile packet_content_mask source_mac FF-FF-FF-FF-FF-FF offset1 l2 0 0xFFFF offset2 l3 8 0xFFFF offset3 l3 10 0xFFFF offset4 l3 12 0xFFFF offset5 l3 14 0xFFFF offset6 l3 16 0xFFFF offset7 l3 18 0xFFFF offset8 l4 2 0xFFFF profile_id 10

Где l4 2 0xFFFF нужно для запрета портов в tcp/udp

Например:

Запрещаем порти 136-140

config access_profile profile_id 10 add access_id 1 packet_content source_mac 00-00-00-00-00-00 mask 00-00-00-00-00-00 offset1 0x0800 offset2 0x0 mask 0x0 offset3 0x0 mask 0x0 offset4 0x0 mask 0x0 offset5 0x0 mask 0x0 offset6 0x0 mask 0x0 offset7 0x0 mask 0x0 offset8 0x0088 mask 0xFFFC port ПОРТ deny

Разрешаем АРП для ІР в которих третье число больше 192

config access_profile profile_id 10 add access_id 6 packet_content source_mac 00-00-00-00-00-00 mask 00-00-00-00-00-00 offset1 0x0806 offset2 0x0 mask 0x0 offset3 0x0 mask 0x0 offset4 0x0 mask 0x0 offset5 0x0 mask 0x0 offset6 0x0 mask 0x0 offset7 0x00c0 mask 0x00c0 offset8 0x0 mask 0x0 port ПОРТ permit

Разрешаем ІР трафик с ІР в которих третье число больше 192 на 10.0.0.1

config access_profile profile_id 10 add access_id 7 packet_content source_mac 00-00-00-00-00-00 mask 00-00-00-00-00-00 offset1 0x0800 offset2 0x0 mask 0x0 offset3 0x0 mask 0x0 offset4 0x0 mask 0x0 offset5 0x00c0 mask 0x00c0 offset6 0x0a00 offset7 0x0001 offset8 0x0 mask 0x0 port ПОРТ permit

Аналогично разрешаем АРП и ІР трафик для легальних юзверей

config access_profile profile_id 10 add access_id 98 packet_content source_mac 01-02-03-04-05-06 mask FF-FF-FF-FF-FF-FF offset1 0x0806 mask 0xffff offset2 0x0102 mask 0xffff offset3 0x0304 mask 0xffff offset4 0x0506 mask 0xffff offset5 0xa1b2 mask 0xffff offset6 0xc3d4 mask 0xffff offset7 0x0 mask 0x0 offset8 0x0 mask 0x0 port ПОРТ permit

config access_profile profile_id 10 add access_id 99 packet_content source_mac 00-01-02-03-04-05 offset1 0x0800 offset2 0x0 mask 0x0 offset3 0x0 mask 0x0 offset4 0xa1b1 mask 0xffff offset5 0xc3d4 mask 0xffff offset6 0x0 mask 0x0 offset7 0x0 mask 0x0 offset8 0x0 mask 0x0 port ПОРТ permit



И запрещаем все.

config access_profile profile_id 10 add access_id 10000 packet_content offset1 0x0 mask 0x0 offset2 0x0 mask 0x0 offset3 0x0 mask 0x0 offset4 0x0 mask 0x0 offset5 0x0 mask 0x0 offset6 0x0 mask 0x0 offset7 0x0 mask 0x0 offset8 0x0 mask 0x0 port ПОРТ deny

Аналогичная конфигурация на 3526 работает на ура.

Все класно. Но. АРП НЕ БЛОКИРУЮТСЯ. Ваабще. Причем даже если удалить все правила на протокол 0х806. Про что и било указано више.

А если запрещающее правило винести в следующий access_profile, как било показано в предидущем посте, то блокирует все АРП, и невозможно их разрешить.

Вроде ко мне начинает доходить. Таки действительно нельзя комбинировать L2 и L4? Ибо только в етом била разница. Ща буду пробивать...

В ARP пакетах L4 части нет и ARP просто не будет попадать под указанный шаблон.
Это наглядно видно из указанных Вами примеров. Маска 0x0 означает, что на указанной позиции может быть любое значение, а не то, что это поле не учитывается.
P.S. L2 и L4 комбинировать можно там, где они присуствуют. Для пакетов не содержащих L4 части бессмысленно делать выборку по ней.

Вот теперь все стало понятно. Благодарю. Значит запрет по портам винесу в отдельное правило.

Хорошо, ждем Ваших результатов.

Усьо в ажуре. Благодарю.

Рад слышать!