1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Вс июл 20, 2025 18:20

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 3
  [ Сообщений: 40 ]  На страницу 1, 2, 3  След.
  Предыдущая тема | Следующая тема 
Автор Сообщение
BIG_EX
СообщениеДобавлено: Пн июл 09, 2012 15:55 
Не в сети

Зарегистрирован: Пн июл 09, 2012 14:12
Сообщений: 6
На A1 используется такой ACL
Код:
create access_profile ip destination_ip 255.255.255.255 udp dst_port_mask 0xFFFF profile_id 15
config access_profile profile_id 15 add access_id 1 ip destination_ip 192.168.64.130 udp dst_port 53 port 1-24 permit

create access_profile ip destination_ip 255.255.255.255 tcp dst_port_mask 0xFFFF profile_id 16
config access_profile profile_id 16 add access_id 1 ip destination_ip 192.168.64.130 tcp dst_port 53 port 1-24 permit

create access_profile ip destination_ip 255.255.255.255 profile_id 17
config access_profile profile_id 17 add access_id 1 ip destination_ip 192.168.64.1  port 1-24 permit
config access_profile profile_id 17 add access_id 2 ip destination_ip 192.168.64.153  port 1-24 permit

create access_profile ip destination_ip 255.255.192.0 profile_id 20


Далее в профиль 20, по снмпи добавляются правила deny:
Код:
$snmp->set(array(
            'ACLMGMT-MIB::swACLIpRuleRowStatus.20.' . $port->num,
            'ACLMGMT-MIB::swACLIpRuleDstIpaddress.20.' . $port->num,
            'ACLMGMT-MIB::swACLIpRuleMaskDstIpaddress.20.' . $port->num,
            'ACLMGMT-MIB::swACLIpRulePermit.20.' . $port->num,
            'ACLMGMT-MIB::swACLIpRulePort.20.' . $port->num,
         ), array(
            'i',
            'a',
            'a',
            'i',
            'x',
         ), array(
            '4',
            '192.168.64.0',
            '255.255.192.0',
            '1',
            Calc::ports_to_portlist(array($port->num)),
         ));


Суть данных правил в том что при определённом событии закрыть доступ на порту по всем направлениям кроме dns запросов, шлюза(64.1) и личного кабинета (64.153)

Нужно переписать данные правила под новую систему ACL на C1 ревизии свитчей. Как я понял из презентации "Новый механизм создания и настройки ACL правил для C1", данные правила можно засунуть в один профиль, однако при этом нужно правильно высчитать protocol_id, user_define, mask под разные протоколы (tcp, udp). Прошу помощи

Оффтоп:
Скрытый текст: показать
Очень конечно D-Link "порадовали" новой серией >_<
Вернуться наверх
 Профиль  
 
Artem Kolpakov
СообщениеДобавлено: Вт июл 10, 2012 08:19 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Объявляйте в профиле все поля, которые далее у вас должны анализироваться, а уже в правилах вы или расписываете значения этих полей, или не упоминаете их - и тогда они не анализируются.
Вернуться наверх
 Профиль  
 
BIG_EX
СообщениеДобавлено: Вт июл 10, 2012 11:02 
Не в сети

Зарегистрирован: Пн июл 09, 2012 14:12
Сообщений: 6
Эту то логику я понимаю, а дальше, какие заголовки пакетов за что отвечают, есть какойто расписанный ман по основным протоколам и их маскам ? Или не ужели нужно сидеть анализировать дампом нужные пакеты и мучиться их расписывать? какойто не "for people" получается :(
Вернуться наверх
 Профиль  
 
Artem Kolpakov
СообщениеДобавлено: Вт июл 10, 2012 13:00 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Более конкретного мануала нет.
Вернуться наверх
 Профиль  
 
mbc44
СообщениеДобавлено: Пт июл 20, 2012 07:02 
Не в сети

Зарегистрирован: Пн дек 20, 2010 03:17
Сообщений: 206
А можно в порядке обучения помочь переписать следующие правила:

Цитата:
create access_profile ip vlan profile_id 7
config access_profile profile_id 7 add access_id 1 ip vlan 257 port 2 permit
create access_profile ip source_ip_mask 255.255.255.255 destination_ip_mask 255.0.0.0 profile_id 18
config access_profile profile_id 18 add access_id 1 ip source_ip 10.30.7.75 destination_ip 10.0.0.0 port 1 deny
create access_profile ip source_ip_mask 255.255.255.255 destination_ip_mask 0.0.0.0 profile_id 20
config access_profile profile_id 20 add access_id 1 ip source_ip 10.30.7.75 destination_ip 0.0.0.0 port 1 permit
create access_profile ethernet ethernet_type profile_id 24
config access_profile profile_id 24 add access_id 1 ethernet ethernet_type 0x806 port 1 permit
create access_profile ethernet ethernet_type profile_id 25
config access_profile profile_id 25 add access_id 1 ethernet ethernet_type 0x9000 port 1 permit
create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 28
config access_profile profile_id 28 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1 deny


Схема реализации должна быть “Что не разрешено, то запрещено” .

Попутно вопрос. В презентации читаем:

Цитата:
“Что не разрешено, то запрещено” – в этом случае создаются разрешающие правила для выборочного трафика, все остальное запрещается последним правилом.
При решении “Что не разрешено, то запрещено.“ для отбрасывания всего остального трафика выборка осуществляется по IP адресу источника с маской 0.0.0.0 или по МАС адресу источника с маской 00-00-00-00-00-00.


Запрещающее правило нужно ставить в каждом профайле?
Вернуться наверх
 Профиль  
 
mbc44
СообщениеДобавлено: Пн июл 23, 2012 07:00 
Не в сети

Зарегистрирован: Пн дек 20, 2010 03:17
Сообщений: 206
Продолжаю монолог.

С разрешающими правилами проблем нет:

Цитата:
create access_profile profile_id 1 profile_name ip ip vlan source_ip_mask 255.255.255.255 destination_ip_mask 0.0.0.0
config access_profile profile_id 1 add access_id 2 ip vlan_id 628 port 2 permit
config access_profile profile_id 1 add access_id 3 ip source_ip 10.34.0.202 destination_ip 10.0.0.0 mask 255.0.0.0 port 3 deny
config access_profile profile_id 1 add access_id 4 ip source_ip 10.34.0.201 destination_ip 0.0.0.0 port 1 permit
config access_profile profile_id 1 add access_id 5 ip source_ip 10.34.0.202 destination_ip 0.0.0.0 port 3 permit
create access_profile profile_id 2 profile_name ether ethernet source_mac 00-00-00-00-00-00 ethernet_type
config access_profile profile_id 2 add access_id 11 ethernet ethernet_type 0x806 port 1-48 permit
config access_profile profile_id 2 add access_id 12 ethernet ethernet_type 0x9000 port 1-48 permit


все работает.
Теперь осталось последнее правило:

Цитата:
config access_profile profile_id 2 add access_id 99 ethernet source_mac 00-00-00-00-00-00 port 1-48 deny


После его применения, все перестает работать.
Собственно остается вопрос, как реализовать решение "что не разрешено, то запрещено"?
Вернуться наверх
 Профиль  
 
mbc44
СообщениеДобавлено: Пн июл 23, 2012 14:39 
Не в сети

Зарегистрирован: Пн дек 20, 2010 03:17
Сообщений: 206
Up.
Вернуться наверх
 Профиль  
 
mbc44
СообщениеДобавлено: Вт июл 31, 2012 08:21 
Не в сети

Зарегистрирован: Пн дек 20, 2010 03:17
Сообщений: 206
Так как все-таки переписать правила? Может задачка для D-link'а смешная и кажется, что я кого-то троллю?
Вернуться наверх
 Профиль  
 
Bigarov Ruslan
СообщениеДобавлено: Вт июл 31, 2012 13:57 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
Добрый день. Нет, есть одна особенность. Мы сейчас уточняем что можно сделать для решения данной задачи.

_________________
С уважением,
Бигаров Руслан.
Вернуться наверх
 Профиль  
 
mbc44
СообщениеДобавлено: Ср авг 08, 2012 06:42 
Не в сети

Зарегистрирован: Пн дек 20, 2010 03:17
Сообщений: 206
Нет никаких вестей?
Вернуться наверх
 Профиль  
 
Bigarov Ruslan
СообщениеДобавлено: Ср авг 08, 2012 09:59 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
Добрый день. Суть проблемы в новом механизме ACL, т.е. матчинг трафика происходит паралельно по всем профилям и deny правила имеют больший приоритет. Мы попросили ШК изменить данное поведение, т.е. чтобы приоритизация была по ACL профилям и правилам, как в DES-3200/B1. Изменение запланировано в R4.32. Мы ждём расписание этого релиза от ШК.

P.S.: Я Вам выслал на e-mail описание текщего механизма ACL на коммутаторах С1.

_________________
С уважением,
Бигаров Руслан.
Вернуться наверх
 Профиль  
 
Radist013
СообщениеДобавлено: Ср авг 22, 2012 15:38 
Не в сети

Зарегистрирован: Пт янв 29, 2010 22:59
Сообщений: 35
Создал похожую тему с похожим вопросом по поводу перехода на С1 http://forum.dlink.ru/viewtopic.php?t=154839
Судя по тому, что меня "попросили" перейти со своим вопросом сюда - то ответа нет и поможет только ШК?
Вернуться наверх
 Профиль  
 
Artem Kolpakov
СообщениеДобавлено: Ср авг 22, 2012 15:44 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Я закрыл вашу тему потому что аналогичная уже есть. Предлагаю вам переписать сообщение здесь, перед этим прочитав презентацию по новым ACL: https://dl.dropbox.com/u/41324937/Prese ... ew_ACL.ppt
Также почитайте про IP-MAC-Port binding: https://dl.dropbox.com/u/41324937/Prese ... 20v3.8.ppt
Вернуться наверх
 Профиль  
 
Radist013
СообщениеДобавлено: Ср авг 22, 2012 16:08 
Не в сети

Зарегистрирован: Пт янв 29, 2010 22:59
Сообщений: 35
Мне ети презентации уже снятся :) Вопрос для меня остается откритим: можно ли мной поставленую задачу реализовать с помощью ACL PCF или сразу смотреть в сторону IMPB+DHCP Snooping?

Или Ви предлагаете перепечатать сдесь вопрос, подразумевая, что задача в принципе решима, просто я не вижу правильного пути? Так укажите, где я ошибся, и я возликую.

Просто я преисполнен здравим скепсисом, так-как имею опит работи с Вашим железом (например 3528, если не ошибаюсь), где тоже не оказалось необходимого количества offset_chunk и после долгой переписки с Вами мне било предложено мигрировать на 3200. Кстати на 3528 та-же логика создания access_profile. Возможно и дизайни чипов схожи.

С другой сторони, я помню ситуацию с внедрением 3200, когда оказалось, что правила ACL PCF и IP_filter не могут работать вместе, т.к. срабативает правило из одного списка и игнорируются остальние.

Поетому, пока мной не принято решение закупать десятками 3200-с1, я хочу знать, как я могу реализовать поставленую задачу. И могу ли вообще достичь требуемого функционала.
Вернуться наверх
 Профиль  
 
Artem Kolpakov
СообщениеДобавлено: Ср авг 22, 2012 16:10 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Смотрите лучше сразу в сторону IMPB+DHCP Snooping - этот функционал для того и делали.
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 3
  [ Сообщений: 40 ]  На страницу 1, 2, 3  След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Bing [Bot] и гости: 69

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB