faq обучение настройка
Текущее время: Пн авг 04, 2025 23:31

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 31 ]  На страницу Пред.  1, 2, 3  След.
Автор Сообщение
 Заголовок сообщения: Re: DGS-3200 не работает ACL для IPv6
СообщениеДобавлено: Вт сен 11, 2012 10:00 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Как только появится информация - я сообщу.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-3200 не работает ACL для IPv6
СообщениеДобавлено: Вт сен 11, 2012 10:02 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Касаемо версии IGMP: Querier должен быть только один в рамках влана и все устройства должны поддерживать IGMPv3, если Вы его используете. Если с последним есть проблемы, то используйте IGMPv2 на устройстве, которое выступает у Вас в роли Querier.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-3200 не работает ACL для IPv6
СообщениеДобавлено: Чт сен 13, 2012 13:39 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
По поводу dhcpv6 пакетов информация следующая.
По причине ограничения чипсета использовать указанные правила не получится. Также нет возможности исправить эту ситуацию, однако если необходимо заблокировать dhcpv6, это можно сделать при помощи следующих правил:
Код:
 
create access_profile profile_id 1 ipv6 destination_ipv6_mask FFFF::FFFF:FFFF
config access_profile profile_id 1 add access_id 1 ipv6 destination_ipv6 FF02::1:2 port 10 deny


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-3200 не работает ACL для IPv6
СообщениеДобавлено: Сб сен 15, 2012 20:45 
Не в сети

Зарегистрирован: Пт апр 13, 2012 23:33
Сообщений: 103
Артём - а по поводу кривоватой работы IMPB IPV6? это как то решаемо?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-3200 не работает ACL для IPv6
СообщениеДобавлено: Вс сен 16, 2012 10:57 
Не в сети

Зарегистрирован: Пт апр 13, 2012 23:33
Сообщений: 103
Artem Kolpakov писал(а):
По поводу dhcpv6 пакетов информация следующая.
По причине ограничения чипсета использовать указанные правила не получится. Также нет возможности исправить эту ситуацию, однако если необходимо заблокировать dhcpv6, это можно сделать при помощи следующих правил:
Код:
 
create access_profile profile_id 1 ipv6 destination_ipv6_mask FFFF::FFFF:FFFF
config access_profile profile_id 1 add access_id 1 ipv6 destination_ipv6 FF02::1:2 port 10 deny



не работает правило

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on en0, link-type EN10MB (Ethernet), capture size 65535 bytes
12:55:46.195595 IP6 inna-pc.local.dhcpv6-client > ff02::1:2.dhcpv6-server: dhcp6 solicit
0x0000: 3333 0001 0002 00e0 b8fe 10f5 86dd 6000 33............`.
0x0010: 0000 0050 1101 fe80 0000 0000 0000 e57e ...P...........~
0x0020: f6bb 510a a30d ff02 0000 0000 0000 0000 ..Q.............
0x0030: 0000 0001 0002 0222 0223 0050 1566 0144 .......".#.P.f.D
0x0040: 9bbf 0008 0002 0000 0001 000e 0001 0001 ................
0x0050: 1736 c623 00e0 b8fe 10f5 0003 000c 0e00 .6.#............
0x0060: e0b8 0000 0000 0000 0000 0010 000e 0000 ................
0x0070: 0137 0008 4d53 4654 2035 2e30 0006 0006 .7..MSFT.5.0....
0x0080: 0018 0017 0011

create access_profile profile_id 10 ipv6 destination_ipv6_mask FFFF::FFFF:FFFF
config access_profile profile_id 10 add access_id 1 ipv6 destination_ipv6 FF02::1:2 port 1-10 deny


я уже вообще ни чего не понимаю


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-3200 не работает ACL для IPv6
СообщениеДобавлено: Вс сен 16, 2012 11:30 
Не в сети

Зарегистрирован: Пт апр 13, 2012 23:33
Сообщений: 103
а теперь расскажите мне дураку - почему при таком правиле

config cpu access_profile profile_id 4 add access_id 1 packet_content offset_0-15 0x0 0x0 0x0 0x86DD0000 offset_48-63 0x0 0x0 0x2230000 0x0 port 1-10 deny
config cpu access_profile profile_id 4 add access_id 2 packet_content offset_0-15 0x0 0x0 0x0 0x86DD0000 offset_48-63 0x0 0x0 0x2220000 0x0 port 1-10 deny

в включённом DHCP6 Relay запросы с портов более не приходят !

что значит не возможно сделать - на лицо явный глюк в ПО свича - свич видит правило CPU и по какой-то причине начинает реагировать на него только при включённом DHCP6 Relay

вобщето ACL CPU должно быть пофиг ipv6 или ipv4 - он разбирает эзернет хидер (packet_content ) и на основание запрограммированных действий - сравнения значений в шестнадцатеричном виде - пускать или не пускать с порта -
это я вам как программист говорю.


с вашими правилами так же поставил эксперимент с DHCPv6 Relay - не действует.

Прошу надавить на пианистов исправить эту не справедливость - полная поддержка IPv6 на свиче анонсирована - но правила не работают ни в каком виде - я не говорю уже про обыкновенную блокировку IPv6 адресов - там копать и копать - но видно что IMPB IPv6 не работает.


Последний раз редактировалось timhp Вс сен 16, 2012 13:00, всего редактировалось 6 раз(а).

Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-3200 не работает ACL для IPv6
СообщениеДобавлено: Вс сен 16, 2012 11:44 
Не в сети

Зарегистрирован: Пт апр 13, 2012 23:33
Сообщений: 103
Denis Evgraphov писал(а):
Касаемо версии IGMP: Querier должен быть только один в рамках влана и все устройства должны поддерживать IGMPv3, если Вы его используете. Если с последним есть проблемы, то используйте IGMPv2 на устройстве, которое выступает у Вас в роли Querier.


а что случилось со совместимостью IGMPv3 и IGMPv2 ? длинк стандарт урезал?

в старой версии софта такой проблемы не было - и всё чудненько работало с IGMPv3 - когда на некоторых стрим устройствах было IGMPv2 только.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-3200 не работает ACL для IPv6
СообщениеДобавлено: Пн сен 17, 2012 09:34 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Указанные правила успешно фильтруют dhcpv6 пакеты. FW 2.21.B005
Возможно, у вас кроме этих acl написаны еще какие-то, под которые попадают пакеты и которыми они пропускаются прежде, чем доходят до запрещающего правила.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-3200 не работает ACL для IPv6
СообщениеДобавлено: Пн сен 17, 2012 09:42 
Не в сети

Зарегистрирован: Пт апр 13, 2012 23:33
Сообщений: 103
у вас конфигурационный файл есть - он актуален

у меня 2.00.016

других тут нет
http://ftp.dlink.ru/pub/Switch/DGS-3200 ... /Firmware/

а где взять указанный вами - 2.21.B005 ?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-3200 не работает ACL для IPv6
СообщениеДобавлено: Пн сен 17, 2012 09:47 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Прошивки тут:
viewtopic.php?f=2&t=92700

По поводу конфигурации.
Приведите, пожалуйста, настройки acl на сегодняшний день с указанными мной правилами и с комментариями, что вы пытаетесь отфильтровать в каждом конкретном PCF.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-3200 не работает ACL для IPv6
СообщениеДобавлено: Пн сен 17, 2012 09:52 
Не в сети

Зарегистрирован: Пт апр 13, 2012 23:33
Сообщений: 103
давайте я прежде разберусь с прошифкой - читай ваш топики указанный.

оказывается ест ещё секретное место хранения прощивок
кромя фтп.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-3200 не работает ACL для IPv6
СообщениеДобавлено: Пн сен 17, 2012 09:59 
Не в сети

Зарегистрирован: Пт апр 13, 2012 23:33
Сообщений: 103
у меня

Firmware Version 2.00.016
Hardware Version B1

какой процесс апдейта? буут ром обновлять нужно?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-3200 не работает ACL для IPv6
СообщениеДобавлено: Пн сен 17, 2012 10:17 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Никаких тонкостей нет - просто обновите прошивку.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-3200 не работает ACL для IPv6
СообщениеДобавлено: Пн сен 17, 2012 11:37 
Не в сети

Зарегистрирован: Пт апр 13, 2012 23:33
Сообщений: 103
Правило отработало с новой прощифкой - спасибо

create access_profile profile_id 1 ipv6 destination_ipv6_mask FFFF::FFFF:FFFF
config access_profile profile_id 1 add access_id 1 ipv6 destination_ipv6 FF02::1:2 port 1-10 deny


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DGS-3200 не работает ACL для IPv6
СообщениеДобавлено: Пн сен 17, 2012 14:37 
Не в сети

Зарегистрирован: Пт апр 13, 2012 23:33
Сообщений: 103
Хочу подменить правило работает только в ветке CPU - правильно ли я думаю что в начале обрабатывается CPU ACL , потом IMPB а потом уже простые ACL?


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 31 ]  На страницу Пред.  1, 2, 3  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 30


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB