1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Пн июл 28, 2025 23:37

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 2 из 7
  [ Сообщений: 93 ]  На страницу Пред.  1, 2, 3, 4, 5 ... 7  След.
  Предыдущая тема | Следующая тема 
Автор Сообщение
DyadyaGenya
 Заголовок сообщения: Re: Настройка acl на DES-1210-28
СообщениеДобавлено: Вт дек 28, 2010 16:45 
Не в сети

Зарегистрирован: Ср сен 22, 2010 23:45
Сообщений: 104
отправил
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения: Re: Настройка acl на DES-1210-28
СообщениеДобавлено: Вт дек 28, 2010 17:45 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Проблему не вижу, у меня правила в Вашей конфигурации работают нормально. Запросил у Вас дополнительную информацию.
Вернуться наверх
 Профиль  
 
DyadyaGenya
 Заголовок сообщения: Re: Настройка acl на DES-1210-28
СообщениеДобавлено: Чт дек 30, 2010 13:13 
Не в сети

Зарегистрирован: Ср сен 22, 2010 23:45
Сообщений: 104
спасибо за подсказку, даже не подумал что редирикт может так повлиять
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения: Re: Настройка acl на DES-1210-28
СообщениеДобавлено: Чт дек 30, 2010 13:18 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Рад слышать, что разобрались! Если правила не срабатывают, то в первую очередь нужно сниффером посмотреть, какие в реальности ходят пакетики.
Вернуться наверх
 Профиль  
 
DyadyaGenya
 Заголовок сообщения: Re: Настройка acl на DES-1210-28
СообщениеДобавлено: Вс фев 20, 2011 20:01 
Не в сети

Зарегистрирован: Ср сен 22, 2010 23:45
Сообщений: 104
как такое может быть? на одних свичах правила нормально создаются, на других в некторый момент начинает писать что сконфигурировать не получилось, хотя проверяю и вижу что правило создано
пример (сразу вид до применения правила, в момент и после, правило №16)
Скрытый текст: показать
Код:
Access Profile ID: 10           Type: Ip
---------------------------------------------------------------------------
---------------------------------------------------------------------------
Mask Option:
TCP  Source IP Mask    Destination IP Mask   Destination Port Mask
---------------------------------------------------------------------------
     255.255.248.0     255.255.255.255       65535
Access ID: 40      Mode: Permit
Ports: 1-24
TCP   192.168.120.1     192.168.120.2         23


Access ID: 41      Mode: Permit
Ports: 1-24
TCP   192.168.120.1     192.168.120.2         1723


Access ID: 43      Mode: Permit
Ports: 1-24
TCP   192.168.120.1     192.168.120.2         80




Access Profile ID: 12           Type: Ip
---------------------------------------------------------------------------
---------------------------------------------------------------------------
Mask Option:
IP Protocol Mask  Source IP Mask    Destination IP Mask
---------------------------------------------------------------------------
0xFF              255.255.248.0     255.255.255.255
Access ID: 61      Mode: Permit
Ports: 1-24
47                192.168.120.1     192.168.120.2




Access Profile ID: 51           Type: Voice VLAN
---------------------------------------------------------------------------
---------------------------------------------------------------------------
Mask Option:
Source Mac Mask
---------------------------------------------------------------------------
ff:ff:ff:00:00:00


Access Profile ID: 52           Type: ARP-SP
---------------------------------------------------------------------------
---------------------------------------------------------------------------
Mask Option:

---------------------------------------------------------------------------



Access Profile ID: 53           Type: ARP-SP
---------------------------------------------------------------------------
---------------------------------------------------------------------------
Mask Option:

---------------------------------------------------------------------------



Access Profile ID: 55           Type: Qos
---------------------------------------------------------------------------
---------------------------------------------------------------------------
Mask Option:

---------------------------------------------------------------------------


DES-1210-28:5# create access_profile profile_id 16 ip protocol_id_mask 0x00 source
_ip_mask 0.0.0.0 destination_ip_mask 255.255.255.255
Command: create access_profile profile_id 16 ip protocol_id_mask 0x00 source_ip_
mask 0.0.0.0 destination_ip_mask 255.255.255.255



Success.

DES-1210-28:5# config access_profile profile_id 16 add access_id 101 ip protocol_i
d 0 source_ip 0.0.0.0 destination_ip 192.168.120.2 ports 1-24 deny
Command: config access_profile profile_id 16 add access_id 101 ip protocol_id 0
source_ip 0.0.0.0 destination_ip 192.168.120.2 ports 1-24 deny



Fail.

DES-1210-28:5# show access_profile
Command: show access_profile


Access Profile Table

Access Profile ID: 2            Type: Ip
---------------------------------------------------------------------------
---------------------------------------------------------------------------
Mask Option:
TCP  Destination Port Mask
---------------------------------------------------------------------------
     65535
Access ID: 2      Mode: Deny
Ports: 1-24
TCP   135


Access ID: 3      Mode: Deny
Ports: 1-24
TCP   139


Access ID: 4      Mode: Deny
Ports: 1-24
TCP   445




Access Profile ID: 3            Type: Ip
---------------------------------------------------------------------------
---------------------------------------------------------------------------
Mask Option:
UDP  Destination Port Mask
---------------------------------------------------------------------------
     65535
Access ID: 5      Mode: Deny
Ports: 1-24
UDP   137


Access ID: 6      Mode: Deny
Ports: 1-24
UDP   138




Access Profile ID: 10           Type: Ip
---------------------------------------------------------------------------
---------------------------------------------------------------------------
Mask Option:
TCP  Source IP Mask    Destination IP Mask   Destination Port Mask
---------------------------------------------------------------------------
     255.255.248.0     255.255.255.255       65535
Access ID: 40      Mode: Permit
Ports: 1-24
TCP   192.168.120.1     192.168.120.2         23


Access ID: 41      Mode: Permit
Ports: 1-24
TCP   192.168.120.1     192.168.120.2         1723


Access ID: 43      Mode: Permit
Ports: 1-24
TCP   192.168.120.1     192.168.120.2         80




Access Profile ID: 12           Type: Ip
---------------------------------------------------------------------------
---------------------------------------------------------------------------
Mask Option:
IP Protocol Mask  Source IP Mask    Destination IP Mask
---------------------------------------------------------------------------
0xFF              255.255.248.0     255.255.255.255
Access ID: 61      Mode: Permit
Ports: 1-24
47                192.168.120.1     192.168.120.2




Access Profile ID: 16           Type: Ip
---------------------------------------------------------------------------
---------------------------------------------------------------------------
Mask Option:
IP Protocol Mask  Source IP Mask    Destination IP Mask
---------------------------------------------------------------------------
0x00              0.0.0.0           255.255.255.255
Access ID: 101      Mode: Deny
Ports: 1-24
0                 192.168.120.2




Access Profile ID: 51           Type: Voice VLAN
---------------------------------------------------------------------------
---------------------------------------------------------------------------
Mask Option:
Source Mac Mask
---------------------------------------------------------------------------
ff:ff:ff:00:00:00
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения: Re: Настройка acl на DES-1210-28
СообщениеДобавлено: Пн фев 21, 2011 10:26 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Это на какой прошивке?
Вернуться наверх
 Профиль  
 
DyadyaGenya
 Заголовок сообщения: Re: Настройка acl на DES-1210-28
СообщениеДобавлено: Пн фев 21, 2011 21:45 
Не в сети

Зарегистрирован: Ср сен 22, 2010 23:45
Сообщений: 104
5.10.B009
перепрошил больше 30 штук изза проблем с айпимак биндингом, решил настроить и ацл, а тут такое, вроде ж все верно написано, кстати, если вписывать только один порт, скажем №1, то все правила применяются без вопросов, а как только пишешь ports 1-24 так сразу начинаются проблемы, вроде как и разрешающие правила срабатывают, кроме
create access_profile profile_id 11 ip icmp type code
config access_profile profile_id 11 add access_id 51 ip icmp type 8 code 0 port 1-24 permit
вернее оно ведет себя так же, пишет ошибку, но при этом в правилах появляется и работает только это разрешающее правило, все остальное блокируется
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения: Re: Настройка acl на DES-1210-28
СообщениеДобавлено: Вт фев 22, 2011 13:21 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Пришлите мне пожалуйста, полную конфигурацию DES-1210-28 на почту для анализа.
P.S. появилась прошивка 5.10.B012 решающая проблему перехода с 5.20.B005/B006 на 5.10 без необходимости нажимать RESET. Эту прошивку можно взять отсюда: ftp://ftp.dlink.ru/pub/Switch/DES-1210%20Series/Firmware/DES-1210-28_A1_5_10_B012.hex
Вернуться наверх
 Профиль  
 
DyadyaGenya
 Заголовок сообщения: Re: Настройка acl на DES-1210-28
СообщениеДобавлено: Сб фев 26, 2011 19:30 
Не в сети

Зарегистрирован: Ср сен 22, 2010 23:45
Сообщений: 104
Ещё небольшое наблюдение, похоже просто не стираются старые правила, напр, после перепрошивки того же свича на версию DES-1210-28_A1_5_10_B012 вдруг высветились правила под абсолютно новыми id, теми, которые были до применения auto_assign. Я вчера отсылал отчет с конфигом с этого же свича, потом по вашему совету удалил и попробовал применить auto_assign, отчет тоже выслал, там видно что ошибка применения присутствует, но id абсолютно другие номера, а сегодня вот просто прошил на новую версию и просто заглянул в список ацл, высветились id со старыми адресами, а в вэб интерфейсе их вообще не видно (в прикрепленном файле сперва команда show access_profile, а потом скопированные из броузера списки ацл - это последние строки). И удалить их не получается, только если удалять всю группу Access Profile ID, а отдельные Access ID не получается, хотя в вэбинтерфейсе это можно сделать
И что самое обидное - не срабатывают правила, не фильтруют, хотя пока писал правило на 1 порт, все работало, стоило написать 1-24 и все перестало применяться
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения: Re: Настройка acl на DES-1210-28
СообщениеДобавлено: Пн фев 28, 2011 11:12 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Так на прошивке 5.10.B012 после удаления всех старых профилей и создания ACL заново какие-нибудь проблемы остаются?
Вернуться наверх
 Профиль  
 
DyadyaGenya
 Заголовок сообщения: Re: Настройка acl на DES-1210-28
СообщениеДобавлено: Вт мар 01, 2011 14:21 
Не в сети

Зарегистрирован: Ср сен 22, 2010 23:45
Сообщений: 104
ну по поводу телнет я слегка поторопился :-) с вашего примера списал, чтоб не потерять управление комутатором, вообще я это провило писал только под свой ноут, а тут не обратил внимание и вписал без изменений
высылаю 4 варианта снифа, если я правильно понял то конфликт появляется, когда прописываешь правило под 47 протокол с разрешением больше чем на один порт свича
вот в таком виде конфликтов нет:
config access_profile profile_id 12 add access_id auto_assign ip protocol_id 47 source_ip 192.168.120.1 destination_ip 192.168.120.2 ports 1 permit
а вот так начинаются конфликты:
config access_profile profile_id 12 add access_id auto_assign ip protocol_id 47 source_ip 192.168.120.1 destination_ip 192.168.120.2 ports 1-24 permit
Вернуться наверх
 Профиль  
 
Artem Kolpakov
 Заголовок сообщения: Re: Настройка acl на DES-1210-28
СообщениеДобавлено: Вт мар 01, 2011 15:46 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
На тестовом стенде никаких конфликтов не выявлено.
Определитесь, какие правила Вы хотите прописать и четко укажите, что у вас не работает.
Попробуйте сделать
reset system exclude vlan system_ip
и заново ввести access-profile.
Вернуться наверх
 Профиль  
 
DyadyaGenya
 Заголовок сообщения: Re: Настройка acl на DES-1210-28
СообщениеДобавлено: Пт мар 04, 2011 15:11 
Не в сети

Зарегистрирован: Ср сен 22, 2010 23:45
Сообщений: 104
отослал вам на почту пару файлов и повторюсь тут
надо и порты "от вирусов" поприкрывать (137, 138, 443 и тп) и ограничить доступ к серверу впн
если писать только правила ограничивающие доступ к впн серверу то все применяется, когда добавляю правила по закрытию портов то есть ошибки, и наоборот, если сперва применяю правила по закрытию портов, то они применяются, а вот по закрытию путей к впн выбивают ошибки
напр:
Скрытый текст: показать
Код:
DES-1210-28:5# create access_profile profile_id 10 ip tcp dst_port_msk 0xffff dest
ination_ip_mask 255.255.255.255 source_ip_mask 255.255.248.0
Command: create access_profile profile_id 10 ip tcp dst_port_msk 0xffff destinat
ion_ip_mask 255.255.255.255 source_ip_mask 255.255.248.0



Success.

DES-1210-28:5# config access_profile profile_id 10 add access_id auto_assign ip tc
p dst_port 1723 source_ip 192.168.120.1 destination_ip 192.168.120.2 ports 1-24
permit
Command: config access_profile profile_id 10 add access_id auto_assign ip tcp ds
t_port 1723 source_ip 192.168.120.1 destination_ip 192.168.120.2 ports 1-24 perm
it



Success.

DES-1210-28:5# config access_profile profile_id 10 add access_id auto_assign ip tc
p dst_port 80 source_ip 192.168.120.1 destination_ip 192.168.120.2 ports 1-24 pe
rmit
Command: config access_profile profile_id 10 add access_id auto_assign ip tcp ds
t_port 80 source_ip 192.168.120.1 destination_ip 192.168.120.2 ports 1-24 permit




Success.

DES-1210-28:5# create access_profile profile_id 12 ip protocol_id_mask 0xff destin
ation_ip_mask 255.255.255.255 source_ip_mask 255.255.248.0
Command: create access_profile profile_id 12 ip protocol_id_mask 0xff destinatio
n_ip_mask 255.255.255.255 source_ip_mask 255.255.248.0



Success.

DES-1210-28:5# config access_profile profile_id 12 add access_id auto_assign ip pr
otocol_id 47 source_ip 192.168.120.1 destination_ip 192.168.120.2 ports 1-24 per
mit
Command: config access_profile profile_id 12 add access_id auto_assign ip protoc
ol_id 47 source_ip 192.168.120.1 destination_ip 192.168.120.2 ports 1-24 permit



Success.

DES-1210-28:5# create access_profile profile_id 11 ip icmp type code
Command: create access_profile profile_id 11 ip icmp type code



Success.

DES-1210-28:5# config access_profile profile_id 11 add access_id auto_assign ip ic
mp type 8 code 0 port 1-24 permit
Command: config access_profile profile_id 11 add access_id auto_assign ip icmp t
ype 8 code 0 ports 1-24 permit



Success.

DES-1210-28:5# create access_profile profile_id 20 ip tcp dst_port_msk 0xffff
Command: create access_profile profile_id 20 ip tcp dst_port_msk 0xffff



Success.

DES-1210-28:5# config access_profile profile_id 20 add access_id auto_assign ip tc
p dst_port 135 ports 1-24 deny
Command: config access_profile profile_id 20 add access_id auto_assign ip tcp ds
t_port 135 ports 1-24 deny



Success.

DES-1210-28:5# config access_profile profile_id 20 add access_id auto_assign ip tc
p dst_port 139 ports 1-24 deny
Command: config access_profile profile_id 20 add access_id auto_assign ip tcp ds
t_port 139 ports 1-24 deny



Success.

DES-1210-28:5# config access_profile profile_id 20 add access_id auto_assign ip tc
p dst_port 445 ports 1-24 deny
Command: config access_profile profile_id 20 add access_id auto_assign ip tcp ds
t_port 445 ports 1-24 deny



Success.

DES-1210-28:5# create access_profile profile_id 21 ip udp dst_port_msk 0xffff
Command: create access_profile profile_id 21 ip udp dst_port_msk 0xffff



Success.

DES-1210-28:5# config access_profile profile_id 21 add access_id auto_assign ip ud
p dst_port 137 ports 1-24 deny
Command: config access_profile profile_id 21 add access_id auto_assign ip udp ds
t_port 137 ports 1-24 deny



Success.

DES-1210-28:5# config access_profile profile_id 21 add access_id auto_assign ip ud
p dst_port 138 ports 1-24 deny
Command: config access_profile profile_id 21 add access_id auto_assign ip udp ds
t_port 138 ports 1-24 deny



Success.

DES-1210-28:5# create access_profile profile_id 22 ip protocol_id_mask 0x00 source
_ip_mask 0.0.0.0 destination_ip_mask 255.255.255.255
Command: create access_profile profile_id 22 ip protocol_id_mask 0x00 source_ip_
mask 0.0.0.0 destination_ip_mask 255.255.255.255



Success.

DES-1210-28:5# config access_profile profile_id 22 add access_id auto_assign ip pr
otocol_id 0 source_ip 0.0.0.0 destination_ip 192.168.120.2 ports 1-24 deny
Command: config access_profile profile_id 22 add access_id auto_assign ip protoc
ol_id 0 source_ip 0.0.0.0 destination_ip 192.168.120.2 ports 1-24 deny



Fail.

DES-1210-28:5# config access_profile profile_id 22 add access_id auto_assign ip pr
otocol_id 0 source_ip 0.0.0.0 destination_ip 192.168.120.1 ports 1-24 deny
Command: config access_profile profile_id 22 add access_id auto_assign ip protoc
ol_id 0 source_ip 0.0.0.0 destination_ip 192.168.120.1 ports 1-24 deny



Fail.

DES-1210-28:5#


DES-1210-28:5# show access_profile
Command: show access_profile


Access Profile Table

Access Profile ID: 10           Type: Ip
---------------------------------------------------------------------------
---------------------------------------------------------------------------
Mask Option:
TCP  Source IP Mask    Destination IP Mask   Destination Port Mask
---------------------------------------------------------------------------
     255.255.248.0     255.255.255.255       65535
Access ID: 1      Mode: Permit
Ports: 1-24
TCP   192.168.120.1     192.168.120.2         1723


Access ID: 2      Mode: Permit
Ports: 1-24
TCP   192.168.120.1     192.168.120.2         80




Access Profile ID: 11           Type: Ip
---------------------------------------------------------------------------
---------------------------------------------------------------------------
Mask Option:
ICMP  ICMP/IGMP Type   ICMP Code
---------------------------------------------------------------------------

Access ID: 4      Mode: Permit
Ports: 1-24
ICMP  8                0




Access Profile ID: 12           Type: Ip
---------------------------------------------------------------------------
---------------------------------------------------------------------------
Mask Option:
IP Protocol Mask  Source IP Mask    Destination IP Mask
---------------------------------------------------------------------------
0xFF              255.255.248.0     255.255.255.255
Access ID: 3      Mode: Permit
Ports: 1-24
47                192.168.120.1     192.168.120.2




Access Profile ID: 20           Type: Ip
---------------------------------------------------------------------------
---------------------------------------------------------------------------
Mask Option:
TCP  Destination Port Mask
---------------------------------------------------------------------------
     65535
Access ID: 5      Mode: Deny
Ports: 1-24
TCP   135


Access ID: 6      Mode: Deny
Ports: 1-24
TCP   139


Access ID: 7      Mode: Deny
Ports: 1-24
TCP   445




Access Profile ID: 21           Type: Ip
---------------------------------------------------------------------------
---------------------------------------------------------------------------
Mask Option:
UDP  Destination Port Mask
---------------------------------------------------------------------------
     65535
Access ID: 8      Mode: Deny
Ports: 1-24
UDP   137


Access ID: 9      Mode: Deny
Ports: 1-24
UDP   138




Access Profile ID: 22           Type: Ip
---------------------------------------------------------------------------
---------------------------------------------------------------------------
Mask Option:
IP Protocol Mask  Source IP Mask    Destination IP Mask
---------------------------------------------------------------------------
0x00              0.0.0.0           255.255.255.255
Access ID: 10      Mode: Deny
Ports: 1-24
0                 192.168.120.2


Access ID: 11      Mode: Deny
Ports: 1-24
0                 192.168.120.1




Access Profile ID: 51           Type: Voice VLAN
---------------------------------------------------------------------------
---------------------------------------------------------------------------
Mask Option:
Source Mac Mask
---------------------------------------------------------------------------
ff:ff:ff:00:00:00


Access Profile ID: 52           Type: ARP-SP
---------------------------------------------------------------------------
---------------------------------------------------------------------------
Mask Option:

---------------------------------------------------------------------------



Access Profile ID: 53           Type: ARP-SP
---------------------------------------------------------------------------
---------------------------------------------------------------------------
Mask Option:

---------------------------------------------------------------------------



Access Profile ID: 55           Type: Qos
---------------------------------------------------------------------------
---------------------------------------------------------------------------
Mask Option:

---------------------------------------------------------------------------


DES-1210-28:5#


естественно резет делаю после каждой новой пробы
Вернуться наверх
 Профиль  
 
Artem Kolpakov
 Заголовок сообщения: Re: Настройка acl на DES-1210-28
СообщениеДобавлено: Пт мар 04, 2011 16:06 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Я Вам отписал на почту.
Вернуться наверх
 Профиль  
 
DyadyaGenya
 Заголовок сообщения: Re: Настройка acl на DES-1210-28
СообщениеДобавлено: Пт мар 04, 2011 18:43 
Не в сети

Зарегистрирован: Ср сен 22, 2010 23:45
Сообщений: 104
Спасибо за ответ, действительно помогло, у меня у самого были подозрения что что-то с количеством портов было связано, раньше писал что для одного порта все работало без вопросов
Ну что ж, запомним, что если правило применяется ко всем
портам коммутатора - то оно занимает всего одну позицию, если же к 24 портам
- то для каждого порта автоматически создается по одному правилу, итого - 24
правила, хотя в конфиге - одна строка.
А я по привычке не хотел нагружать магистральные порты
Ещё раз спасибо
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 2 из 7
  [ Сообщений: 93 ]  На страницу Пред.  1, 2, 3, 4, 5 ... 7  След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 39

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB