делаю по http://www.dlink.ru/ru/faq/62/954.html
DES-3200-10 A1
разрешить ether proto 0x800, 0x806, остальное запретить



Срабатывает 500й профиль и блокируется всё. Что я делаю не так?

Так. При этом


работает так, как ожидается. PCF профили отрабатывают последними несмотря на profile_id ?

Тут ответ.

_________________
D-Link Switches: Tips & Tricks

Спасибо, читаю, въезжаю, т.к. тут скорость ответов не всегда быстрая, дублирую на наге

Толкните в нужном направлении как работает mask внутри access_id для PCF профилей? То есть как, например, работает конструкция
create access_profile packet_content_mask c_tag A profile_id 25
config access_profile profile_id 25 add access_id 100 packet_content c_tag B mask C... ?

без маски понятно, это аналогично if( (c_tag && A) == B ), а с маской как? (c_tag && A) == (B && C) чтоли?


Возможно ли сделать permit для tagged трафика? count enable подсказывает что для untagged c_tag=1.
Подозреваю что как раз при помощи вышеприведенной конструкции с mask это должно получиться, как конкретно?

Добавлено:
если tagged разрешить не получится (жаль, нет отрицательных условий вида c_tag not 0x0001), то можно все правила переписать, указывая c_tag 0xFFFF и c_tag 0x0001 дабы они tagged трафик не трогали. Верно?

и следом вопрос: сколько профилей со сколькими правилами можно использовать в DES-3200 различных ревизий?
Верно ли я понимаю, что в идеале (особенно в ревизии C1) нужно всё вместить в один PCF-профиль, задействовав максимально нужное число offset и mask и используя их в правилах по необходимости?

DES-3200-28 B1


DES-3200-28 C1


наблюдаю
48:5b:39:e8:5a:e4 > 33:33:ff:12:8c:a0, ethertype IPv6 (0x86dd), length 86: fe80::d88d:dc5f:c077:f19f > ff02::1:ff12:8ca0: ICMP6, neighbor solicitation, who has fe80::8802:a752:512:8ca0, length 32

в чём подвох?

Это через мирроринг или напрямую?
Фильтруется только входящий в порт трафик. Если настроено зеркалирование, то трафик отзеркалится, а потом будет заблокирован. Т.е. его будет видно в любом случае.

permit для tagged трафика сделать, видимо, нельзя, т.к. TPID коммутатором не контролируется.
Можно попробовать пропускать 0x0000 с packet_content_mask c_tag 0x0000, но не исключено, что будет проходить вообще весь трафик.

_________________
D-Link Switches: Tips & Tricks

это напрямую, задамплено машиной, включенной в тот-же сегмент, где находится коммутатор, в который включены машины.
Никакого зеркалирования не настроено. То, что acl работает на ingress трафик я в курсе.

"на столе" после применения таких правил я перестаю видеть всяческие ipv6 solicit, но "на столе" у меня в сегменте машин 10, а в сегменте откуда задамплено - под сотню

Да, так и получается на 3200. На 3028 вроде можно, т.к. TPID попадает в packet_content_mask offset_0-15

_________________
D-Link Switches: Tips & Tricks

да фиг с ним уже с tagged/untagged, почему ipv6 проходит я не понимаю

Так. Дружим с гуглем и головой.
33:33 это ether и ipv6 multicast. Но неясно почему он форвардится при filter_unregistered_group
До-пи-сы-ва-ю



всё равно лезет