1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Ср июл 30, 2025 00:08

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 2
  [ Сообщений: 22 ]  На страницу 1, 2  След.
  Предыдущая тема | Следующая тема 
Автор Сообщение
Phobius
 Заголовок сообщения: Ряд вопросов о PCF ACL на DES-3028/3052
СообщениеДобавлено: Ср май 05, 2010 10:46 
Не в сети

Зарегистрирован: Чт авг 21, 2008 14:02
Сообщений: 27
В сети массово используются DES-3526/3550.
Packet Content ACL используются для фильтрации "левых" ARP запросов поле source-ip у которых не совпадает с выданным абоненту IP.

К примеру на DES-3526:

Код:
# Фильтруем нежелательные ARP с подмененным source-IP
create access_profile packet_content_mask offset_16-31  0xFFFFFFFF  0xFFFF0000  0x0  0x0 offset_32-47  0xFFFFFFFF  0x0  0x0  0x0 profile_id 19
config access_profile profile_id 19 add access_id 1 packet_content_mask offset_16-31  0x8060001  0x8000000  0x0  0x0 offset_32-47  0xA0A0C02  0x0  0x0  0x0 port 1 permit

# Разрешаем доступ к серверу статистики даже в заблокированном состоянии
create access_profile ip source_ip_mask 255.255.255.255 destination_ip_mask 255.255.255.128 profile_id 20
config access_profile profile_id 20 add access_id 1 ip source_ip 10.10.12.2 destination_ip $billing_server port 1 permit

# Контроль доступа (интернет вкл/выкл)
create access_profile ip source_ip_mask 255.255.255.255 destination_ip_mask 0.0.0.0 profile_id 50
config access_profile profile_id 50 add access_id 1 ip source_ip 10.10.12.2 destination_ip 0.0.0.0 port 1 permit

# Запретить всё что не ARP или IP или не прошедшее проверку правилами выше
create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 100
config access_profile profile_id 100 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1 deny


Результатом является полное игнорирование "неправильных" ARP пакетов:
Код:
May  4 17:41:06: %IP-4-DUPADDR: Duplicate address хх.хх.хх.хх on VlanХХХ, sourced by хххх.хххх.хххх

Что полностью исключает в локальном сегменте проблему "Конфликт IP адреса". Даже если криворукий клиент по личному тугоумию или по злому умыслу присвоит интерфейсу своей железки IP шлюза-по-умолчанию, на работоспособность сегмента это не скажется.

Соответственно, потребовался импорт существующего механизма фильтрации на модель DES-3052.
Насколько я понимаю, в отличии от DES-3526, DES-3052 рассматривает кадры без 802.1q аппендикса, то бишь как есть без дополнительного смещения на 4 байта.

DES-3052:

Код:
# Фильтруем нежелательные ARP с подмененным source-IP
create access_profile  packet_content  offset_0-15  0x0 0x0 0x0 0xffffffff offset_16-31  0xffff0000 0x0 0x0 0xffffffff  profile_id 19
config access_profile profile_id 19  add access_id 1  packet_content  offset 12 0x8060001 offset 16 0x8000000 offset 28 0xa0a0c02  port 1 permit

# Разрешаем доступ к серверу статистики даже в заблокированном состоянии
create access_profile  ip  source_ip 255.255.255.255 destination_ip 255.255.255.128  profile_id 20
config access_profile profile_id 20  add access_id 1  ip  source_ip 10.10.12.2      destination_ip $billing_server       port 1 permit

# Контроль доступа (интернет вкл/выкл)
create access_profile  ip  source_ip 255.255.255.255 destination_ip 0.0.0.0          profile_id 50
config access_profile profile_id 50  add access_id 1  ip  source_ip 10.10.12.2      destination_ip 0.0.0.0          port 1 permit

# Запретить всё что не ARP или IP или не прошедшее проверку правилами выше
create access_profile  ethernet  source_mac 00-00-00-00-00-00  profile_id 100
config access_profile profile_id 100  add access_id 1  ethernet  source_mac 00-00-00-00-00-00  port 1 deny


Однако же, конструкция показанная выше не работает как надо.
"Левые" ARP пакеты с неправильным source-ip доходят до L3 железки и провоцируют его на ругань типа:

Код:
May  4 17:41:06: %IP-4-DUPADDR: Duplicate address 10.20.39.1 on Vlan239, sourced by 0002.a5c2.ebfa


Код:
Command: show switch

Device Type        : DES-3052 Fast Ethernet Switch
MAC Address        : 00-21-91-8D-74-9D
IP Address         :
VLAN Name          : Management
Subnet Mask        : 255.255.255.0
Default Gateway    :
Boot PROM Version  : Build 1.00.B06
Firmware Version   : Build 2.00.B27
Hardware Version   : A1
System Name        :
System Location    :
System Contact     :
Spanning Tree      : Enabled
GVRP               : Disabled
IGMP Snooping      : Disabled
VLAN trunk         : Disabled
802.1x             : Disabled
TELNET             : Enabled
WEB                : Disabled
RMON               : Disabled
SSH                : Disabled
SSL                : Disabled
Clipaging          : Enabled                                                   
Syslog Global State: Enabled
Dual Image         : Supported
Password Encryption Status : Enabled


Вопрос, это я чего то не понимаю или не учёл? Или традиционно есть особенности, о которых я не знаю? =)
Вернуться наверх
 Профиль  
 
Phobius
 Заголовок сообщения:
СообщениеДобавлено: Ср май 05, 2010 11:22 
Не в сети

Зарегистрирован: Чт авг 21, 2008 14:02
Сообщений: 27
причем забавно:

Код:
create access_profile  packet_content  offset_0-15  0x0 0x0 0x0 0xffff0000  profile_id 18
config access_profile profile_id 18  add access_id 1  packet_content  offset 12 0x8060000  port 1 deny


ровным счётом ничего не даёт, ARP бегают как ни в чём не бывало
Вернуться наверх
 Профиль  
 
Phobius
 Заголовок сообщения:
СообщениеДобавлено: Ср май 05, 2010 12:19 
Не в сети

Зарегистрирован: Чт авг 21, 2008 14:02
Сообщений: 27
откатился на
Код:
Boot PROM Version  : Build 1.00.B06
Firmware Version   : Build 1.02-B10

Всё заработало как надо.
Есть подозрение, что в v 2.хх прикрутили какую-нито "фишку" которая обрабатывала ARP до ACL.


добавлено позже:

выдержки из changelog`а:
Цитата:
16. Gratuitous ARP

а вот и ответ:

Цитата:
8.[ACL user defined packet content] User defined packet content ACL cannot block ARP request packets because there are IMPB auto recovery with high ACL priority in the background
Вернуться наверх
 Профиль  
 
Bigarov Ruslan
 Заголовок сообщения:
СообщениеДобавлено: Ср май 05, 2010 16:28 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
С этой задачей хорошо справляется IMP v3.8, которая присутствует в прошивках начиная с версии 2.50.В08.

_________________
С уважением,
Бигаров Руслан.
Вернуться наверх
 Профиль  
 
Phobius
 Заголовок сообщения:
СообщениеДобавлено: Ср май 05, 2010 16:59 
Не в сети

Зарегистрирован: Чт авг 21, 2008 14:02
Сообщений: 27
Bigarov Ruslan писал(а):
С этой задачей хорошо справляется IMP v3.8, которая присутствует в прошивках начиная с версии 2.50.В08.


Был бы очень благодарен, если ткнете носом где можно почитать мануал по этой функции. Именно версии 3.8. =)
Вернуться наверх
 Профиль  
 
Bigarov Ruslan
 Заголовок сообщения:
СообщениеДобавлено: Ср май 05, 2010 17:04 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
Настраивается там всё также, просто, немного поменялось поведение самой функции.

_________________
С уважением,
Бигаров Руслан.
Вернуться наверх
 Профиль  
 
[myaso]ed
 Заголовок сообщения: Re: Ряд вопросов о PCF ACL на DES-3028/3052
СообщениеДобавлено: Пт фев 03, 2012 01:01 
Не в сети

Зарегистрирован: Ср июн 15, 2011 21:01
Сообщений: 11
Господа, нельзя ли вернуться к теме?

Имеется:
Device Type : DES-3052 Fast Ethernet Switch
...
Boot PROM Version : Build 1.00.B06
Firmware Version : Build 2.80.B08
Hardware Version : A1

Задача поставлена примерно так: защитить от спуфинга IP адреса шлюза (192.168.0.1) и сервера (192.168.0.2) находящихся на портах 51,52 соответственно. Причем, MAC'и к остальным портам не привязывать, дабы у пользователей была мобильность...
PFC как и было замечено выше не заработал ни в каком варианте для ARP'а. :(
Например, пробовал так:
create access_profile packet_content offset_0-15 0x0 0x0 0x0 0xffffffff offset_16-31 0xffffffff 0xffff0000 0x0 0xffffffff profile_id 2
config access_profile profile_id 2 add access_id 1 packet_content offset 12 0x8060001 offset 16 0x8000604 offset 20 0x20000 offset 28 0xc0a80001 port 1 deny
config access_profile profile_id 2 add access_id 2 packet_content offset 12 0x8060001 offset 16 0x8000604 offset 20 0x20000 offset 28 0xc0a80002 port 1 deny

Есть ли вариант реализовать решение на IPMB?
Судя по описанию технологии она потребует жесткой привязки IP-MAC на пользовательские порты. А этого не надо, как я описал...

Благодарю.
Вернуться наверх
 Профиль  
 
Alexandr Zaitsev
 Заголовок сообщения: Re: Ряд вопросов о PCF ACL на DES-3028/3052
СообщениеДобавлено: Пт фев 03, 2012 10:22 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow
Если у Вас в сети есть dhcp сервер, то можно насторить dhcp snooping, тогда пользователи не будут привязаны к портам и в тоже время не смогут использовать вручную настроенные адреса.
Вернуться наверх
 Профиль  
 
[myaso]ed
 Заголовок сообщения: Re: Ряд вопросов о PCF ACL на DES-3028/3052
СообщениеДобавлено: Пт фев 03, 2012 16:05 
Не в сети

Зарегистрирован: Ср июн 15, 2011 21:01
Сообщений: 11
Alexandr Zaitsev писал(а):
Если у Вас в сети есть dhcp сервер, то можно насторить dhcp snooping, тогда пользователи не будут привязаны к портам и в тоже время не смогут использовать вручную настроенные адреса.

Этот вариант тоже рассматривал. Но:
- есть оборудование со статиком: принтера, МФУ, NAS'ы, серваки и т.д. Придется отслеживать постоянно их перемещение по розеткам
- есть дочки доступа, с которых прилетает несколько MAC'ов... и я подозреваю, что тут у DLink'ов есть ограничения по кол-ву.
Если ли вариант заставить нормально работать PCF для ARP'а?
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения: Re: Ряд вопросов о PCF ACL на DES-3028/3052
СообщениеДобавлено: Пт фев 03, 2012 16:30 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
На DES-3028 имеет значение тегирован трафик или нет. Поймайте обычный ARP пакет снифером (напр. Wireshark) и если трафик будет приходить на коммутатор нетегированным, то для этого пакетика и напишите правило, если тегированным, то учитывайте сдвиг в 4-ре байта за счет поля 802.1q вставляемого перед Ethertype.
Вернуться наверх
 Профиль  
 
[myaso]ed
 Заголовок сообщения: Re: Ряд вопросов о PCF ACL на DES-3028/3052
СообщениеДобавлено: Пт фев 03, 2012 18:56 
Не в сети

Зарегистрирован: Ср июн 15, 2011 21:01
Сообщений: 11
А всяко пробовал:
Код:
create access_profile  packet_content  offset_0-15  0x0 0x0 0x0 0xffff0000  profile_id 2
config access_profile profile_id 2  add access_id 1  packet_content  offset 12 0x8060000  port 51 deny

и так:
Код:
create access_profile  packet_content  offset_16-31  0xffff0000 0x0 0x0 0x0  profile_id 2
config access_profile profile_id 2  add access_id 1  packet_content  offset 16 0x8060000  port 51 deny

все одно - в show arptable появляется IP-MAC с порта 51 (untagged) после очистки таблицы.
Т.е. ARP через PCF не режет.
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения: Re: Ряд вопросов о PCF ACL на DES-3028/3052
СообщениеДобавлено: Пн фев 06, 2012 10:27 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Вы лучше снифером посмотрите ситуацию: проходит ли ARP или нет, а не на коммутаторе.
Вернуться наверх
 Профиль  
 
[myaso]ed
 Заголовок сообщения: Re: Ряд вопросов о PCF ACL на DES-3028/3052
СообщениеДобавлено: Пн фев 06, 2012 10:51 
Не в сети

Зарегистрирован: Ср июн 15, 2011 21:01
Сообщений: 11
Я конечно посмотрю вечером, но уверен на 99% - не работает... ибо PCF, как я понимаю, работает на входящем с порта трафике, а не на исходящем.
Если б PCF работал, на коммутаторе ARP'а тоже не было бы.

А не могли бы вы закинуть мне прошивку с заведомо рабочим PCF для ARP?... без нововведений типа IMB с поломанным функционалом... пусть даже это будет версия 1 ПО.

Благодарю.
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения: Re: Ряд вопросов о PCF ACL на DES-3028/3052
СообщениеДобавлено: Пн фев 06, 2012 10:54 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
ACL на данной серии в принципе работает только на входящий в порт трафик, то есть это Ingress ACL.
Прошивку можно скачать здесь: http://forum.dlink.ru/viewtopic.php?f=2&t=92700
Вернуться наверх
 Профиль  
 
[myaso]ed
 Заголовок сообщения: Re: Ряд вопросов о PCF ACL на DES-3028/3052
СообщениеДобавлено: Пн фев 06, 2012 11:02 
Не в сети

Зарегистрирован: Ср июн 15, 2011 21:01
Сообщений: 11
Там только актуальные релизы... а мне из архива нужен. Сделал запрос в той теме...
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 2
  [ Сообщений: 22 ]  На страницу 1, 2  След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 9

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB