Господа какой будет вердикт и когда исправят этот лаг?

ситуация - нужно блокировать DHCP IPv6 - версия софта 2.00.016

собственно ACL

create cpu access_profile profile_id 4 packet_content_mask offset_0-15 0x0 0x0 0x0 0xFFFF0000 offset_48-63 0x0 0x0 0xFFFF0000 0x0
config cpu access_profile profile_id 4 add access_id 1 packet_content offset_0-15 0x0 0x0 0x0 0x86DD0000 offset_48-63 0x0 0x0 0x02230000 0x0 port 1-10 deny
config cpu access_profile profile_id 4 add access_id 2 packet_content offset_0-15 0x0 0x0 0x0 0x86DD0000 offset_48-63 0x0 0x0 0x02220000 0x0 port 1-10 deny

не работает !!!!!!

вижу запросы в сети

15:05:57.744921 00:e0:b8:fe:10:f5 > 33:33:00:01:00:02, ethertype IPv6 (0x86dd), length 134: fe80::e57e:f6bb:510a:a30d.546 > ff02::1:2.547: dhcp6 solicit
0x0000: 3333 0001 0002 00e0 b8fe 10f5 86dd 6000 33............`.
0x0010: 0000 0050 1101 fe80 0000 0000 0000 e57e ...P...........~
0x0020: f6bb 510a a30d ff02 0000 0000 0000 0000 ..Q.............
0x0030: 0000 0001 0002 0222 0223 0050 07a0 012b .......".#.P...+
0x0040: 9102 0008 0002 189c 0001 000e 0001 0001 ................
0x0050: 1736 c623 00e0 b8fe 10f5 0003 000c 0e00 .6.#............
0x0060: e0b8 0000 0000 0000 0000 0010 000e 0000 ................
0x0070: 0137 0008 4d53 4654 2035 2e30 0006 0006 .7..MSFT.5.0....
0x0080: 0018 0017 0011 ......


получается что ACL для IPv6 живут своей жизнью и не работают

сейчас спасает блокировка ipv6 ipmac binding - но хотелось бы фильтровать запросы на dhcp ipv6 на портах - что бы не пузырили запросами.

ps. временное решение нашёл - но хочется прояснить поведение acl для ipv6 - по нему вопрос открыт!

ответа от длинка нет чувствую - мой ответ тогда - проверен опытом - правила работают в том случае если включить DHCPv6 Relay.

прям чудеса какие то.

чем больше я работаю с длинком - тем часто у меня вызывают ассоциацию с лампой - пока не потрёшь в том месте где не должно быть этого - работать не будет.

а тут все технари сами себе задают вопросы и находят ответы своим опытом, а не от вендора?

Попробуй не create cpu access_profile, а create access_profile

не могу - там стоит от арп спуфинга правило

create access_profile profile_id 7 packet_content_mask offset_chunk_1 3 0xFFFF offset_chunk_2 7 0xFFFF offset_chunk_3 8 0xFFFF0000
config access_profile profile_id 7 add access_id 1 packet_content offset_chunk_1 0x806 offset_chunk_2 0xAC10 offset_chunk_3 0x2010000 port 1-10 deny

- и для dgs3200 можно создать только одно в обычных acl

вдогонку - проблема следующая - после создания ip mac биндинг ipv4 + ipv6
и после перегрузки свича ребутом - не возможно пересоздать правила ip mac биндинг ipv4 + ipv6 ругается что нет места.

лечится полной перезаливкой софта 2.00.016 - уже не раз наталкиваюсь на данный баг.

пусть пианисты исправят хоть это.

Пришлите мне на почту снифф пакетов в формате pcap, которые вы хотите заблокировать, а также конфигурационный файл коммутатора.

отправил

Я проверю и отпишу по результату

Артём, imbd ip6 вообще не какие - живёт своей жизнью, добавляешь что нужно - а пропускает что не нужно в nd
итог на компах ndp -a видит то что не должно видеть.

выкрутился тем что принудительно прописал в acl

create access_profile profile_id 5 ipv6 source_ipv6_mask FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF
config access_profile profile_id 5 add access_id 1 ipv6 source_ipv6 FE80::2AE0:2CFF:FE01:C051 port 1 permit rx_rate no_limit
config access_profile profile_id 5 add access_id 2 ipv6 source_ipv6 FE80::A667:6FF:FE14:E879 port 1 permit rx_rate no_limit
config access_profile profile_id 5 add access_id 3 ipv6 source_ipv6 FE80::CE08:E0FF:FEEE:9A25 port 1 permit rx_rate no_limit

create access_profile profile_id 6 ethernet ethernet_type
config access_profile profile_id 6 add access_id 1 ethernet ethernet_type 0x86DD port 1 deny

шутники со стороны wifi - шутят c ipv6

Действительно в обработке ipv6 обнаружились некоторые неисправности, которые будут устранены.

жду с нетерпением - не то что некоторые а просто кошмарные - дыра в безопасности размером с туманность Ориона

да Артём в догонку - проблема с igmp3 - она не понимает igmp2

приходится принудительно прописывать для igmp3 статическу группу либо вратать на igmp2

Артём а как долго ждать исправления?