1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Пт июл 18, 2025 06:36

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 2
  [ Сообщений: 19 ]  На страницу 1, 2  След.
  Предыдущая тема | Следующая тема 
Автор Сообщение
KovAl59
 Заголовок сообщения: Вопрос по PCF ACL DES-3200
СообщениеДобавлено: Пн апр 23, 2012 09:16 
Не в сети

Зарегистрирован: Ср июл 29, 2009 13:26
Сообщений: 544
Откуда: Фурманов
Возник спор по конфигурации pcf acl DES-3200, конкретно по расположению байтов src и dst ip.
Основываясь на этом материале, я считаю что src ip начинается по смещению 12 L3, dst ip - соотв. по смещению 16 L3.
Мой оппонент утверждает, что src ip находится по смещению 14 L3. Свое мнение он обосновывает на данных, полученных от tcpdump на клиенте.
Цитата:
Если начинать отсчет с учетом поле HType, то смешение на 14 байт приходится как раз на "AC".
"АС" - это первый байт src ip (172).
Код:
15:22:15.799694 arp who-has 172.20.80.250 tell 172.20.80.8
        0x0000:  0001 0800 0604 0001 14d6 4db8 4765 ac14  ..........M.Ge..
        0x0010:  5008 0000 0000 0000 ac14 50fa 0000 0000  P.........P.....
        0x0020:  0000 0000 0000 0000 0000 0000 0000       ..............
15:22:15.799702 arp reply 172.20.80.250 is-at 00:1c:c0:34:a7:3d (oui Unknown)
        0x0000:  0001 0800 0604 0002 001c c034 a73d ac14  ...........4.=..
        0x0010:  50fa 14d6 4db8 4765 ac14 5008            P...M.Ge..P.
15:23:55.182945 arp who-has 172.20.80.250 tell 172.20.80.8
        0x0000:  0001 0800 0604 0001 14d6 4db8 4765 ac14  ..........M.Ge..
        0x0010:  5008 0000 0000 0000 ac14 50fa 0000 0000  P.........P.....
        0x0020:  0000 0000 0000 0000 0000 0000 0000       ..............
15:23:55.182970 arp reply 172.20.80.250 is-at 00:1c:c0:34:a7:3d (oui Unknown)
        0x0000:  0001 0800 0604 0002 001c c034 a73d ac14  ...........4.=..
        0x0010:  50fa 14d6 4db8 4765 ac14 5008            P...M.Ge..P.

И как же есть на самом деле?
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения: Re: Вопрос по PCF ACL DES-3200
СообщениеДобавлено: Пн апр 23, 2012 11:28 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Отсчитывайте от L2 - это поле ethertype. L3 начинается сразу после ethertype в пакете.
Вернуться наверх
 Профиль  
 
KovAl59
 Заголовок сообщения: Re: Вопрос по PCF ACL DES-3200
СообщениеДобавлено: Пн апр 23, 2012 13:21 
Не в сети

Зарегистрирован: Ср июл 29, 2009 13:26
Сообщений: 544
Откуда: Фурманов
Denis Evgraphov писал(а):
Отсчитывайте от L2 - это поле ethertype. L3 начинается сразу после ethertype в пакете.

И? Где конкретно в L3 находится src/dst ip?
И вообще, существует ли какой-либо документ, кроме этого , детально описывающий работу с pcf acl на des-3200?
Вопрос достаточно сложный для понимания и я как выяснилось, не только для меня.
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения: Re: Вопрос по PCF ACL DES-3200
СообщениеДобавлено: Пн апр 23, 2012 14:40 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
На таком снифе как у Вас, где заголовки срезаны конечно неудобно искать. Поймайте пакет при помощи Wireshark, там все очень хорошо видно.
P.S. У ARP Ethertype - 0x0806
Вернуться наверх
 Профиль  
 
KovAl59
 Заголовок сообщения: Re: Вопрос по PCF ACL DES-3200
СообщениеДобавлено: Пн апр 23, 2012 16:21 
Не в сети

Зарегистрирован: Ср июл 29, 2009 13:26
Сообщений: 544
Откуда: Фурманов
Denis Evgraphov писал(а):
На таком снифе как у Вас, где заголовки срезаны конечно неудобно искать. Поймайте пакет при помощи Wireshark, там все очень хорошо видно.
P.S. У ARP Ethertype - 0x0806

Что-то мы никак не можем понять друг-друга.. :( Попробую сформулировать вопрос по-другому.
Вот здесь
Изображение
я отчетливо вижу , что первый байт src ip находится по смещению 12 L3.
Вопрос - это верно всегда, независимо от типа пакета? Можно ли на это опираться при составлении правил?
Или содержимое и порядок следования байтов в блоке L3 может меняться, а свитч только определяет начало и конец блока?
Собственно отсюда и возникли разногласия, описанные в первом посте.

P.S. Скан не мой, а моего оппонента.
Кстати, а мы не разные случаи с ним обсуждаем и верны оба утверждения?


Последний раз редактировалось KovAl59 Пн апр 23, 2012 16:29, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения: Re: Вопрос по PCF ACL DES-3200
СообщениеДобавлено: Пн апр 23, 2012 16:26 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Обратите внимание на то, что в Вашем первом посте ARP пакет, а не IP.
Также хочу обратить внимание на то, что чтобы составлять правила предметно при помощи PCF нужно всегда их ловить сниффером и смотреть. Вообще, я рекомендую в любом случае вести отсчет от L2 - поля Ethertype: в таком случае Вы никогда не ошибетесь где находится начало L3 и L4. Не важно, где в пакете находится анализируемое поле в L2, L3 или L4 части, если до него можно дотянуться из L2, то с L2 и нужно начинать отсчет.
Вернуться наверх
 Профиль  
 
KovAl59
 Заголовок сообщения: Re: Вопрос по PCF ACL DES-3200
СообщениеДобавлено: Пн апр 23, 2012 16:44 
Не в сети

Зарегистрирован: Ср июл 29, 2009 13:26
Сообщений: 544
Откуда: Фурманов
Denis Evgraphov писал(а):
Обратите внимание на то, что в Вашем первом посте ARP пакет, а не IP.

Я тоже об этом подумал. И задал вопрос, на который Вы так и не ответили..
Denis Evgraphov писал(а):
Также хочу обратить внимание на то, что чтобы составлять правила предметно при помощи PCF нужно всегда их ловить сниффером и смотреть. Вообще, я рекомендую в любом случае вести отсчет от L2 - поля Ethertype: в таком случае Вы никогда не ошибетесь где находится начало L3 и L4. Не важно, где в пакете находится анализируемое поле в L2, L3 или L4 части, если до него можно дотянуться из L2, то с L2 и нужно начинать отсчет.

Снова не понимаю.. :( Выходит, что все определяет L2, а L3 и L4 - чистая условность и свитч не может определить, где они начинаются и где заканчиваются. Для чего тогда же они нужны?
Что-то я совсем запутался.. :roll:
При составлении правил я опирался на то, что содержимое и порядок следования байт IP пакета в L3-L4 постоянен, т.е. src ip всегда находится по смещению 12 блока L3, протокол всегда по смещению 10 блока L3 и т.д. Это неверно?
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения: Re: Вопрос по PCF ACL DES-3200
СообщениеДобавлено: Пн апр 23, 2012 17:28 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Коммутатор все может определить, а вот Вам для облегчения работы с PCF ACL я рекомендую отсчитывать от L2, чтобы не думать где находится L3 и L4 в пакете. Смещения для IP пакетов будут всегда одинаковы, но к смещениям для ARP пакетов они не имеют никакого отношения.
О том, как устроены ARP, IP и прочие типы пакетов можно почитать в RFC.
Вернуться наверх
 Профиль  
 
Vano™
 Заголовок сообщения: Re: Вопрос по PCF ACL DES-3200
СообщениеДобавлено: Чт авг 16, 2012 16:10 
Не в сети

Зарегистрирован: Пн янв 08, 2007 15:38
Сообщений: 215
Откуда: Norilsk
чтобы не создавать новой темы касающеся работы ACL поспрашиваю тут.
Давно при переходе с 3526 на 3200 серию все правила пришлось переводить в PCF.
Всё вроде хорошо но одно так и не смог победить. А именно пропустить определенный Vlan.
Для примера возмём определенный давно работающий кусочек.
в нем стоит 3200 с кучей правил ACL для абонетов , поэтому в конце стоит блокирующее правило.
Вот кусочек конфига ( может тоже кому понадобится реализация )

Код:
# VLAN
disable asymmetric_vlan
enable pvid auto_assign
config vlan default delete 1-10
config vlan default advertisement enable
config vlan default add untagged 9-10
create vlan 021 tag 21 advertisement
config vlan 021 add tagged 10
config vlan 021 add untagged 1-4
create vlan 041 tag 41 advertisement
config vlan 041 add tagged 9-10
create vlan 078 tag 78 advertisement
config vlan 078 add tagged 9-10
disable qinq
disable gvrp

# ACL
create access_profile  packet_content_mask   offset1 l3 16 0xFFFF  offset2 l3 18 0xFFFF  offset3 l4 2 0xFFFF  profile_id 1
config access_profile profile_id 1  add access_id 1  packet_content   offset1 0xffff offset2 0xffff offset3 0x0043 port 1-9 permit priority 7 replace_priority  replace_dscp_with 63
config access_profile profile_id 1  add access_id 2  packet_content   offset1 0xac16 offset2 0x6401 offset3 0x0035 port 1-10 permit priority 6 replace_priority  replace_dscp_with 60
config access_profile profile_id 1  add access_id 3  packet_content   offset1 0xac16 offset2 0x640a offset3 0x0050 port 1-10 permit priority 6 replace_priority  replace_dscp_with 50
config access_profile profile_id 1  add access_id 4  packet_content   offset1 0xac16 offset2 0xffce offset3 0x0050 port 1-10 permit priority 6 replace_priority  replace_dscp_with 50
config access_profile profile_id 1  add access_id 5  packet_content   offset1 0xac16 offset2 0x6401 offset3 0x0050 port 1-9 permit priority 6 replace_priority  replace_dscp_with 59
config access_profile profile_id 1  add access_id 200  packet_content   offset3 0x0087 port 1-10 deny
config access_profile profile_id 1  add access_id 201  packet_content   offset3 0x0089 port 1-10 deny
config access_profile profile_id 1  add access_id 202  packet_content   offset3 0x008a port 1-10 deny
config access_profile profile_id 1  add access_id 203  packet_content   offset3 0x01bd port 1-10 deny

create access_profile  packet_content_mask   destination_mac FF-FF-FF-FF-FF-FF  offset1 l2 0 0xFFFF  profile_id 3
config access_profile profile_id 3  add access_id 1  packet_content   offset1 0x0806 port 1-10 permit
config access_profile profile_id 3  add access_id 2  packet_content   destination_mac FF-FF-FF-FF-FF-FF  offset1 0x0800 port 1-9 deny
config access_profile profile_id 3  add access_id 3  packet_content   offset1 0x86dd port 1-10 deny

create access_profile  packet_content_mask   source_mac FF-FF-FF-FF-FF-FF  offset1 l3 12 0xFFFF  offset2 l3 14 0xFFFF  profile_id 100
config access_profile profile_id 100  add access_id 1  packet_content   source_mac 00-E0-91-0B-2B-D3  port 1-9 permit
onfig access_profile profile_id 100  add access_id 8363  packet_content   source_mac 00-1B-FC-1A-EC-E7  offset1 0xac16 offset2 0x152a port 1-4 permit
config access_profile profile_id 100  add access_id 8410  packet_content   source_mac 00-1B-24-A5-98-AD  offset1 0xac16 offset2 0x4e21 port 9 permit
config access_profile profile_id 100  add access_id 8468  packet_content   source_mac 00-15-F2-04-E8-4B  offset1 0xac16 offset2 0x2933 port 9 permit
config access_profile profile_id 100  add access_id 8479  packet_content   source_mac B8-70-F4-39-F4-D0  offset1 0xac16 offset2 0x1528 port 1-4 permit
config access_profile profile_id 100  add access_id 8493  packet_content   source_mac 00-1A-4D-5F-83-97  offset1 0xac16 offset2 0x2936 port 9 permit
config access_profile profile_id 100  add access_id 65500  packet_content   source_mac 00-1B-11-B8-D4-E3  port 1-9 permit

create access_profile  packet_content_mask   offset1 l2 0 0x0  profile_id 200
config access_profile profile_id 200  add access_id 1  packet_content   port 1-9 deny

все vlan приходят на 10 порт , за 9-м портом находится 3526 уже без ACL на котором просто снимаются теги.
Управляющий vlan остаётся в default Vlan 1 .

как для примера vlan 1 нужно разрешить для любого трафика т.к до 3526 не добратся т.к его управление также в vlan 1 .
пока обхожусь только добавлением в профиль МАС коммутатора ( profile_id 100 access_id 65500).

создавал профиль и правила подобного рода:
Код:
create access_profile  packet_content_mask  c_tag 0xffff  profile_id 2
config access_profile profile_id 2  add access_id 1  packet_content   c_tag  0x01  port 9 permit

оно не работает , т.е access_profile profile_id 200 его всё также успешно блокирует.

отсюда вердикт либо во второй профиль нечего не попадает ( хотя вкомутаторе всё тегированое , да и пробывал с другими vlan), или обработка работает опять странным образом.
До этого было описано ( где-то на тут на форуме ) , что PCF и обычные ACL обрабатываются отдельно и PCF приорететнее , т.е профиль с номером 200 поэтому и созданно в PCF как и все другие .
Почему тогда profile_id 2 не отрабатывает ?

_________________
Люблю писать с ошибками.....
D-Link User: DGS-3627G, DGS-3324SR, DES-3526, DES-1024D, DES-1016D, DWL-2100AP, DEM-310GT,DEM-330, DCS-950.
Вернуться наверх
 Профиль  
 
KovAl59
 Заголовок сообщения: Re: Вопрос по PCF ACL DES-3200
СообщениеДобавлено: Чт авг 16, 2012 19:01 
Не в сети

Зарегистрирован: Ср июл 29, 2009 13:26
Сообщений: 544
Откуда: Фурманов
Vano™ писал(а):
До этого было описано ( где-то на тут на форуме ) , что PCF и обычные ACL обрабатываются отдельно и PCF приорететнее , т.е профиль с номером 200 поэтому и созданно в PCF как и все другие .
Почему тогда profile_id 2 не отрабатывает ?

Если не ошибаюсь, в этом случае (pcf и ip ACL), если пакет попадает в оба правила, то приоритет имеет запрещающее правило, независимо от типа.
У Вас похоже, не тот случай, не вижу ни одного "обычного" ACL. А проблема скорее всего из-за того, что здесь
Код:
create access_profile  packet_content_mask  c_tag 0xffff  profile_id 2
config access_profile profile_id 2  add access_id 1  packet_content   c_tag  0x01  port 9 permit
должен быть обязательно хотя бы один offset, пусть даже пустой. Т.о. ваше правило просто не работает.
У меня когда-то это было реализовано так:
Код:
create access_profile  packet_content_mask  c_tag 0x0fff offset1 l2 0 0x0 profile_id 2
config access_profile profile_id 2 add access_id auto_assign packet_content  c_tag 0x0003 offset1 0x0 port 1 permit

Только учитывайте, offset-ов может "не хватить" (если правильно помню, то всего 11 на все ацл). У меня такое уже было, пришлось писать "комбинированные" (на несколько задач) профили и манипулировать масками.

P.S. У себя все полностью переписал на PCF, проблем нет.

P.P.S Встречный вопрос - а для чего у Вас выставлены приоритеты ("priority 7 replace_priority replace_dscp_with 63") и как это рассчитывается? Вижу, что для DNS и DHCP, а 80-й порт - это что? И вообще, дают ли приоритеты что-либо в реале?
Вернуться наверх
 Профиль  
 
Vano™
 Заголовок сообщения: Re: Вопрос по PCF ACL DES-3200
СообщениеДобавлено: Пт авг 17, 2012 00:20 
Не в сети

Зарегистрирован: Пн янв 08, 2007 15:38
Сообщений: 215
Откуда: Norilsk
хм , спасибо за подсказку , сколько ACL состовлял, даже не задумывался о том что должен быть хоть один offset , т.к в основных он всё равно присутствует =) . Попробую скомбинировать с каким нибудь предыдущим профилем .
Про правила где 80 порт , это пару ресурсов которые должны быть доступны в любых вариациях ( офф. сайт и биллинг ) . Для офф сайта выставлен максимальный приоритет , чтобы у клиента при максимальной нагрузки на сегмент не возникало чувство плохоработающей сети , да и получается максимальный отклик от сайта . это просто небольшая хитрость оставшеяся еще когда ядром сети выступали пара 3627G а у него при большом кол-ве ПК 3й уровень подглючивает , хотя до 700ПК он почти идеален. Пришлось сменить на Extreme X480-48x (10G4x) теперь с 3м уровнем не заморачиваюсь , а dlink 3526 и 3200 это идеальное решение для фильтрации при помощи ACL пока еще не одной конторы железок не могу подобное предложить по соотношению цена - функционал- качество ( хотя тут есть небольшие огрехи , как и у всех впринцепе ).
Единственое будет жаль если 3200 серия перейдет вся на ревизию С1. идеальными были всёже HW A1 . B1 немного разочеровала отсутвием стандартного COM ( теперь 2 кабеля приходится иметь в запасе ), ну и тем что зачем-то убрали один медый гигабит . Но заглянув внутрь через решетки увидел и обраное изменение по БП он теперь опять походу просто 12В. а не 12+5 как было в HW A1 , что возвращает возможность дороботки до простого бесперебойника ( для нищих с высоким КПД ), еслиб еще и вернули RPS разьём =) .

_________________
Люблю писать с ошибками.....
D-Link User: DGS-3627G, DGS-3324SR, DES-3526, DES-1024D, DES-1016D, DWL-2100AP, DEM-310GT,DEM-330, DCS-950.
Вернуться наверх
 Профиль  
 
KovAl59
 Заголовок сообщения: Re: Вопрос по PCF ACL DES-3200
СообщениеДобавлено: Чт сен 20, 2012 16:51 
Не в сети

Зарегистрирован: Ср июл 29, 2009 13:26
Сообщений: 544
Откуда: Фурманов
Подниму тему.
В связи с реализацией доступа по PPPoE (до этого был только PPTP), потребовалось заново переписать ACL на DES-3200-10 (НЕ С1).
Помня о том, что количество оффсетов ограничено числом 11, создаю "универсальные" профили.
Но в памяти как-то стёрся такой момент - если в правиле не требуется анализ какой-либо части пакета, есть ли необходимость указывать в нём нулевое значение поля и маски для этой части пакета?
Например, такой профайл:
Код:
create access_profile  packet_content_mask destination_mac FF-FF-FF-FF-FF-FF source_mac FF-FF-FF-FF-FF-FF offset1 l2 0 0xFFFF offset2 l3 8 0x00FF offset3 l3 12 0xFFFF offset4 l3 14 0xFFFF offset5 l3 16 0xFFFF offset6 l3 18 0xFFFF offset7 l4 2 0xFFFF profile_id 2

Реализуем правило, например, для разрешения ARP. Будут ли равнозначны варианты написания?:
1. ("краткий")
Код:
config access_profile profile_id 2 add access_id auto_assign packet_content destination_mac FF-FF-FF-FF-FF-FF  offset1 0x0806 port 1-10 permit

2.("полный")
Код:
config access_profile profile_id 2 add access_id auto_assign packet_content destination_mac FF-FF-FF-FF-FF-FF  source_mac 00-00-00-00-00-00 mask 00-00-00-00-00-00 offset1 0x0806 offset2 0x0 mask 0x0 offset3 0x0 mask 0x0 offset4 0x0 mask 0x0 offset5 0x0 mask 0x0 offset6 0x0 mask 0x0 offset7 0x0 mask 0x0 port 1-10 permit
Вернуться наверх
 Профиль  
 
Artem Kolpakov
 Заголовок сообщения: Re: Вопрос по PCF ACL DES-3200
СообщениеДобавлено: Пт сен 21, 2012 08:53 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
KovAl59
У вас что-то не получилось?
Если поле не надо анализировать - его можно не указывать.
Вернуться наверх
 Профиль  
 
KovAl59
 Заголовок сообщения: Re: Вопрос по PCF ACL DES-3200
СообщениеДобавлено: Пт сен 21, 2012 09:45 
Не в сети

Зарегистрирован: Ср июл 29, 2009 13:26
Сообщений: 544
Откуда: Фурманов
Artem Kolpakov писал(а):
KovAl59
У вас что-то не получилось?

Еще не знаю. Просто соломку хочу подстелить. :)
Artem Kolpakov писал(а):
Если поле не надо анализировать - его можно не указывать.

Ну вот собственно это и хотел узнать.
Спасибо!
Вернуться наверх
 Профиль  
 
elvenpath
 Заголовок сообщения: Re: Вопрос по PCF ACL DES-3200
СообщениеДобавлено: Пн сен 24, 2012 22:53 
Не в сети

Зарегистрирован: Пн авг 27, 2012 14:12
Сообщений: 50
Vano™ писал(а):
Давно при переходе с 3526 на 3200 серию все правила пришлось переводить в PCF.

Если не секрет - а зачем переходить на pcf ?
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 2
  [ Сообщений: 19 ]  На страницу 1, 2  След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 48

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB