Здравствуйте!

Помогите, пожалуйста, сделать ACL на DGS-3200.
Тот, что я сделал, не пропускает IPv6 трафик даже не смотря на то, что сначала разрешаю полностью ethertype 86dd, а только потом запрещаю все.

Что требуется.
Есть порт 1 - access (нетегированный) и порты 2,3, соединенные в port-channel (LACP). Порт 2 "главный". Они транковые (tagged).

Нужно сделать:

На вход (в порт 1 извне):

allow ip (0800) from ANY MAC to MAC X
allow arp (0806) from ANY MAC to MAC X
allow arp (0806) from ANY MAC to FF:FF:FF:FF:FF:FF
allow ipv6 (86dd) from ANY MAC to MAC X
allow ipv6 (86dd) from ANY MAC to 33:33:00:00:00:01
allow ipv6 (86dd) from ANY MAC to 33:33:FF .... (т.е. маска FF:FF:FF:00:00:00 - последние 3 октета любые)
deny ALL OTHER traffic

На выход (из порта 1):

allow ip (0800) from MAC X to ANY MAC
allow arp (0806) from MAC X to ANY MAC
allow ipv6 (86dd) from MAC X to ANY MAC
deny ALL OTHER traffic

При этом через какие другие порты пойдут пакеты - не важно.
Но насколько я понял, в D-Link фильтры работает только на вход (?) и поэтому нужно на портах с другой стороны применять tagged правила (поэтому я указал какие порты с другой стороны содержат этот vlan).

Фильтр на выход (из порта 1) у меня вообще не заработал (блокировалось все при любых попытках запретить tagget из портов 2,3).
А фильтр на выход отлично работает для IPv4,ARP, но полностью режет IPv6.

Да, правила работают только на вход.
Внутри коммутатора все пакеты тегированы, независимо от того, с меткой он пришел или нет, соответственно все правила необходимо писать с учетом этого.
Посмотрите сниффером на пакеты, переделайте свои правила и отпишитесь по результатам.

Здравствуйте!

Все проверил. IPv6 не пускает. Похоже, это баг.
IPv4 при этом работает.

Вот правила:
Внешние хосты подключены через порт 1. Мой хост - через порты (некоторые) из диапазона 2-10.
IPv6 это ethertype 86dd.
Эти правила проверены на данной сети в свитчах других производителей.

create access_profile profile_id 1 ethernet vlan destination_mac FF-FF-FF-FF-FF-FF ethernet_type
config access_profile profile_id 1 add access_id 11 ethernet vlan IX destination_mac 11-22-33-44-55-66 ethernet_type 0x800 port 1 permit rx_rate no_limit
config access_profile profile_id 1 add access_id 21 ethernet vlan IX destination_mac 11-22-33-44-55-66 ethernet_type 0x806 port 1 permit rx_rate no_limit
config access_profile profile_id 1 add access_id 31 ethernet vlan IX destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x806 port 1 permit rx_rate no_limit
config access_profile profile_id 1 add access_id 41 ethernet vlan IX destination_mac 11-22-33-44-55-66 ethernet_type 0x86DD port 1 permit rx_rate no_limit
config access_profile profile_id 1 add access_id 51 ethernet vlan IX destination_mac 33-33-FF-00-00-01 ethernet_type 0x86DD port 1 permit rx_rate no_limit
create access_profile profile_id 2 ethernet vlan destination_mac FF-FF-FF-00-00-00 ethernet_type
config access_profile profile_id 2 add access_id 61 ethernet vlan IX destination_mac 33-33-FF-00-00-00 ethernet_type 0x86DD port 1 permit rx_rate no_limit
create access_profile profile_id 4 ethernet vlan source_mac FF-FF-FF-FF-FF-FF ethernet_type
config access_profile profile_id 4 add access_id 71 ethernet vlan IX source_mac 11-22-33-44-55-66 ethernet_type 0x800 port 2-10 permit rx_rate no_limit
config access_profile profile_id 4 add access_id 81 ethernet vlan IX source_mac 11-22-33-44-55-66 ethernet_type 0x806 port 2-10 permit rx_rate no_limit
config access_profile profile_id 4 add access_id 91 ethernet vlan IX source_mac 11-22-33-44-55-66 ethernet_type 0x86DD port 2-10 permit rx_rate no_limit
create access_profile profile_id 10 ethernet vlan
config access_profile profile_id 10 add access_id 101 ethernet vlan IX port 1-10 deny

disable cpu_interface_filtering

11-22-33-44-55-66 - mac моего устройства.

Когда включаю последнее правило (запрещающее все остальное) - ping6 прекращается:

01:01:56.612874 11:22:33:44:55:66 > 00:1a:64:99:87:9a, ethertype IPv6 (0x86dd), length 70: (hlim 64, next-header ICMPv6 (58) payload length: 16) 2001:7f8:20:101::245:X: > 2001:7f8:20:101::244:100: [icmp6 sum ok] ICMP6, echo request, length 16, seq 37
01:01:56.613441 00:1a:64:99:87:9a > 11:22:33:44:55:66, ethertype IPv6 (0x86dd), length 70: (hlim 64, next-header ICMPv6 (58) payload length: 16) 2001:7f8:20:101::244:100 > 2001:7f8:20:101::245:X:: [icmp6 sum ok] ICMP6, echo reply, length 16, seq 37

тут правило включилось

01:01:57.612782 11:22:33:44:55:66 > 00:1a:64:99:87:9a, ethertype IPv6 (0x86dd), length 70: (hlim 64, next-header ICMPv6 (58) payload length: 16) 2001:7f8:20:101::245:X: > 2001:7f8:20:101::244:100: [icmp6 sum ok] ICMP6, echo request, length 16, seq 38
01:01:58.612672 11:22:33:44:55:66 > 00:1a:64:99:87:9a, ethertype IPv6 (0x86dd), length 70: (hlim 64, next-header ICMPv6 (58) payload length: 16) 2001:7f8:20:101::245:X: > 2001:7f8:20:101::244:100: [icmp6 sum ok] ICMP6, echo request, length 16, seq 39

Затем он начинает посылать ND в поисках пира, но они не проходят.

Когда удаляю это правило - ND начинает проходить, и затем пинг:

00:49:30.448514 11:22:33:44:55:66 > 33:33:ff:44:01:00, ethertype IPv6 (0x86dd), length 86: (hlim 255, next-header ICMPv6 (58) payload length: 32) 2001:7f8:20:101::245:X: > ff02::1:ff44:100: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has 2001:7f8:20:101::244:100

00:49:31.449121 00:1a:64:99:87:9a > 11:22:33:44:55:66, ethertype IPv6 (0x86dd), length 86: (hlim 255, next-header ICMPv6 (58) payload length: 32) 2001:7f8:20:101::244:100 > 2001:7f8:20:101::245:X: [icmp6 sum ok] ICMP6, neighbor advertisement, length 32, tgt is 2001:7f8:20:101::244:100, Flags [solicited, override]


Важно: Я пробовал применять запрещающее правило не ко всем портам, а только к порту 1 или к остальным портам (где моя машина подключена) - в ОБОИХ случаях все блокируется.

P.S. По tcpdump видно, что пакеты подходят под разрешающие правила.

Свитч DGS-3200-10
Firmware Version 1.50.B052
Hardware Version B1

Попробуйте, пожалуйста, ситуацию на прошивке, которую я Вам выслал. Похожая проблема c IPv6 и Ethernet ACL уже фиксилась.