1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Вс июл 20, 2025 13:46

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 12 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
artemn
 Заголовок сообщения: Помогите заблокировать IPX
СообщениеДобавлено: Сб май 07, 2011 20:54 
Не в сети

Зарегистрирован: Вс май 08, 2005 17:50
Сообщений: 145
Откуда: Санкт-Петербург
Необходимо заблокировать трафик отличный от IP. На DES-3526 создаю аксеслист следующего содержания.

Код:
create access_profile packet_content_mask offset_16-31 0xFFFF0000 0x0 0x0 0x0 profile_id 1
config access_profile profile_id 1 add access_id auto_assign packet_content_mask offset_16-31 0x08000000 0x0 0x0 0x0 port 4 permit
config access_profile profile_id 1 add access_id auto_assign packet_content_mask offset_16-31 0x08060000 0x0 0x0 0x0 port 4 permit
config access_profile profile_id 1 add access_id auto_assign packet_content_mask offset_16-31 0xFFFF0000 0x0 0x0 0x0 port 4 deny


В итоге первые 2 правила (ip и arp трафик) работают а 3-е запрещающее не срабатывает, как в таком случае заблокировать все что не разрешено?
Вернуться наверх
 Профиль  
 
Artem Kolpakov
 Заголовок сообщения: Re: Помогите заблокировать IPX
СообщениеДобавлено: Вт май 10, 2011 10:23 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
IPX можно заблокировать следующими правилами:

Код:
create access_profile packet_content_mask offset_16-31 0xFFFF 0x0 0x0 0x0 profile_id 1
config access_profile profile_id 1 add access_id 1 packet_content_mask offset_16-31 0xe0e0 0x0 0x0 0x0 port 1 deny
Вернуться наверх
 Профиль  
 
artemn
 Заголовок сообщения: Re: Помогите заблокировать IPX
СообщениеДобавлено: Ср май 11, 2011 13:26 
Не в сети

Зарегистрирован: Вс май 08, 2005 17:50
Сообщений: 145
Откуда: Санкт-Петербург
Спасибо Артем, аксеслист делает свое дело.
На всякий случай хочу закрыть весь трафик с клиентских портов, отличный от ipv4 и arp. Есть ли возможность это сделать?
Вернуться наверх
 Профиль  
 
Artem Kolpakov
 Заголовок сообщения: Re: Помогите заблокировать IPX
СообщениеДобавлено: Ср май 11, 2011 15:42 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Есть.
Разрешаете ipv4 и arp, затем режете все по любым source mac.
Вернуться наверх
 Профиль  
 
artemn
 Заголовок сообщения: Re: Помогите заблокировать IPX
СообщениеДобавлено: Ср май 11, 2011 17:56 
Не в сети

Зарегистрирован: Вс май 08, 2005 17:50
Сообщений: 145
Откуда: Санкт-Петербург
Так и хотел сделать, но не могу придумать правило запрещающее все ни по packet_content_mask ни по ethernet, без привязки к конкретному мак адресу.
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения: Re: Помогите заблокировать IPX
СообщениеДобавлено: Чт май 12, 2011 11:29 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Так привязки к конкретному MAC адресу и не будет если в профиле использовать маску source_mac 00-00-00-00-00-00
Вернуться наверх
 Профиль  
 
artemn
 Заголовок сообщения: Re: Помогите заблокировать IPX
СообщениеДобавлено: Чт май 12, 2011 13:24 
Не в сети

Зарегистрирован: Вс май 08, 2005 17:50
Сообщений: 145
Откуда: Санкт-Петербург
Спасибо за подсказку, попробую ваш вариант. Хотел сделать блокировку всего трафика в том же аксес профиле, но это не сработало:

create access_profile packet_content_mask offset_16-31 0xFFFF0000 0x0 0x0 0x0 profile_id 1
config access_profile profile_id 1 add access_id auto_assign packet_content_mask offset_16-31 0x0 0x0 0x0 0x0 port X deny
Вернуться наверх
 Профиль  
 
Alexandr Zaitsev
 Заголовок сообщения: Re: Помогите заблокировать IPX
СообщениеДобавлено: Чт май 12, 2011 14:50 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow
В том же профиле и не сработает. Маска должна быть 0000, а не ffff
Вернуться наверх
 Профиль  
 
artemn
 Заголовок сообщения: Re: Помогите заблокировать IPX
СообщениеДобавлено: Чт май 12, 2011 16:36 
Не в сети

Зарегистрирован: Вс май 08, 2005 17:50
Сообщений: 145
Откуда: Санкт-Петербург
Код:
DES-3526:admin#show access_profile profile_id 1
Command: show access_profile profile_id 1

Access Profile Table

Access Profile ID : 1                                     Type : Packet Content
================================================================================
Owner    : ACL
Masks    :

Offset 16-31 : 0x0000ffff 00000000 00000000 00000000

Access ID: 1              Mode: Deny
Owner    : ACL
Port     : 6
----------------------------------------------------
Offset 16-31 : 0x00000000 00000000 00000000 00000000

Access ID: 2              Mode: Deny
Owner    : ACL
Port     : 6
----------------------------------------------------
Offset 16-31 : 0x0000ffff 00000000 00000000 00000000

================================================================================
Access Entries : 2


Блокировка по маске не срабатывает, даже если указывать оба варианта 0000 и ffff. Может значение 0000 не воспринимает как маска?
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения: Re: Помогите заблокировать IPX
СообщениеДобавлено: Чт май 12, 2011 16:47 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
artemn писал(а):
Код:
DES-3526:admin#show access_profile profile_id 1
Command: show access_profile profile_id 1

Access Profile Table

Access Profile ID : 1                                     Type : Packet Content
================================================================================
Owner    : ACL
Masks    :

Offset 16-31 : 0x0000ffff 00000000 00000000 00000000


Вот тут, то есть в профиле должны быть все нули, а не в правиле.
Вернуться наверх
 Профиль  
 
artemn
 Заголовок сообщения: Re: Помогите заблокировать IPX
СообщениеДобавлено: Чт май 12, 2011 17:39 
Не в сети

Зарегистрирован: Вс май 08, 2005 17:50
Сообщений: 145
Откуда: Санкт-Петербург
Спасибо за консультацию, теперь все ясно. Тему можно закрывать.
Вернуться наверх
 Профиль  
 
Artem Kolpakov
 Заголовок сообщения: Re: Помогите заблокировать IPX
СообщениеДобавлено: Пт май 13, 2011 08:39 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Хорошо, что разобрались!
Тема пусть будет открытой - мало ли, у кого-то будут еще вопросы.
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 12 ] 

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 157

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB