D-Link • Просмотр темы

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

DGS-1100-06/me

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 6 из 47

[ Сообщений: 700 ]

На страницу Пред. 1 ... 3, 4, 5, 6, 7, 8, 9 ... 47 След.

Предыдущая тема | Следующая тема

Автор

Сообщение

Artem Kolpakov

Заголовок сообщения: Re: DGS-1100-06/me

Добавлено: Чт окт 17, 2013 08:58

Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999

poofeg
Mihail.K
По проблемам acl отписал в ШК

Вернуться наверх

Artem Kolpakov

Заголовок сообщения: Re: DGS-1100-06/me

Добавлено: Чт окт 17, 2013 13:21

Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999

Проблема с acl исправлена в 1.00.B037 (фильтрация dhcp пакетов и описанный пример с src mac)

Вернуться наверх

poofeg

Заголовок сообщения: Re: DGS-1100-06/me

Добавлено: Чт окт 17, 2013 14:09

Зарегистрирован: Вс ноя 18, 2012 12:43
Сообщений: 286
Откуда: Lesnoy, Sverdlovsk obl.

Artem Kolpakov писал(а):

Проблема с acl исправлена в 1.00.B037 (фильтрация dhcp пакетов и описанный пример с src mac)

Проблема осталась. Это правило блокирует трафик:

Код:

create access_profile ip source_ip_mask 0.0.0.0 profile_id 50
config access_profile profile_id 50 add access_id 1 ip source_ip 0.0.0.0 port 1-5 deny

А вот это нет:

Код:

create access_profile ethernet source_mac 000000000000 profile_id 50
config access_profile profile_id 50 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-5 deny

Вернуться наверх

Artem Kolpakov

Заголовок сообщения: Re: DGS-1100-06/me

Добавлено: Чт окт 17, 2013 15:45

Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999

Видимо, у вас есть еще какие-то acl, пропускающие трафик до этих.

Вернуться наверх

poofeg

Заголовок сообщения: Re: DGS-1100-06/me

Добавлено: Чт окт 17, 2013 15:49

Зарегистрирован: Вс ноя 18, 2012 12:43
Сообщений: 286
Откуда: Lesnoy, Sverdlovsk obl.

В первом случае не пропускают, а во втором пропускают? это как?
Первое правило я использую вместо второго, а не вместе.
Вот кусок конфига:

Код:

# ACL
create access_profile ip source_ip_mask 255.255.255.255 profile_id 1
create access_profile ethernet destination_mac ffffffffffff  ethernet_type profile_id 48
create access_profile ip udp src_port_mask 0xffff profile_id 49
create access_profile ip source_ip_mask 0.0.0.0 profile_id 50
config access_profile profile_id 48 add access_id 1 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x0806 port 1-5 permit
config access_profile profile_id 1 add access_id 1 ip source_ip 213.109.49.3 port 1 permit
config access_profile profile_id 1 add access_id 2 ip source_ip 10.0.4.25 port 2 permit
config access_profile profile_id 49 add access_id 1 ip udp src_port 68 port 1-5 permit
config access_profile profile_id 49 add access_id 2 ip udp src_port 67 port 1-5 deny
config access_profile profile_id 50 add access_id 1 ip source_ip 0.0.0.0 port 1-5 deny

Вернуться наверх

dressenau

Заголовок сообщения: Re: DGS-1100-06/me

Добавлено: Чт окт 17, 2013 18:20

Зарегистрирован: Сб июл 05, 2008 08:40
Сообщений: 168
Откуда: Сергиево-Посадский район

Скажите а как обстоят дела с DHCP SERVER SCREENING?

_________________
DGS-3627G+DGS-3120-24SC+DGS-3100-24+DGS-1100-06/ME+DES-3526+DES-3200+DES-3010G

Вернуться наверх

Alexandr Zaitsev

Заголовок сообщения: Re: DGS-1100-06/me

Добавлено: Пт окт 18, 2013 09:48

Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow

Вы можете использовать ACL

Вернуться наверх

dressenau

Заголовок сообщения: Re: DGS-1100-06/me

Добавлено: Пт окт 18, 2013 17:14

Зарегистрирован: Сб июл 05, 2008 08:40
Сообщений: 168
Откуда: Сергиево-Посадский район

Я использую на сети DHCP_LOCAL_RELAY, вы уверены что в моём случае ACL эффективны?

_________________
DGS-3627G+DGS-3120-24SC+DGS-3100-24+DGS-1100-06/ME+DES-3526+DES-3200+DES-3010G

Вернуться наверх

Ipsum(C)

Заголовок сообщения: Re: DGS-1100-06/me

Добавлено: Сб окт 19, 2013 00:22

Зарегистрирован: Пт июл 23, 2010 13:40
Сообщений: 133

При настройке SNMP через cli, при создании community

Код:

DGS-1100-06/ME:5# create snmp community public public_user
Command: create snmp community public public_user

User Name (View Policy) has illegal characters.

Failure!

Баг конечно не критичен, но может поднасрать, если настраивать только через web-интерфейс.

Вернуться наверх

Artem Kolpakov

Заголовок сообщения: Re: DGS-1100-06/me

Добавлено: Пн окт 21, 2013 08:23

Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999

dressenau писал(а):

Я использую на сети DHCP_LOCAL_RELAY, вы уверены что в моём случае ACL эффективны?

При использовании dhcp relay или dhcp local relay acl действительно не блокируют dhcp трафик - об этой проблеме известно и сейчас занимаются ее исправлением.

Вернуться наверх

Ipsum(C)

Заголовок сообщения: Re: DGS-1100-06/me

Добавлено: Чт окт 24, 2013 10:07

Зарегистрирован: Пт июл 23, 2010 13:40
Сообщений: 133

На сайте http://tsd.dlink.com.tw/ (Quick Find -> DGS -> DGS-1100-06/ME) нашёл ссылку на исходники прошивки. Есть у кого интерес их поковырять?

Вернуться наверх

Alexandr Zaitsev

Заголовок сообщения: Re: DGS-1100-06/me

Добавлено: Чт окт 24, 2013 10:27

Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow

Ipsum(C) писал(а):

При настройке SNMP через cli, при создании community

Код:

DGS-1100-06/ME:5# create snmp community public public_user
Command: create snmp community public public_user

User Name (View Policy) has illegal characters.

Failure!

Через web-интерфейс snmp community создаётся и даже присутствует в config_in_nvram. После перезагрузки коммутатора, snmp community из current_config и настроек, пропадает, а в config_in_nvram остаётся.

Баг однако! ;)

Баг конечно не критичен, но может поднасрать, если настраивать только через web-интерфейс.

Написал в шк

Вернуться наверх

Ipsum(C)

Заголовок сообщения: Re: DGS-1100-06/me

Добавлено: Чт окт 24, 2013 10:45

Зарегистрирован: Пт июл 23, 2010 13:40
Сообщений: 133

Вы бы ещё не могли написать в ШК по поводу управления ACL через SNMP? Ну очень нужен этот функционал.

Вернуться наверх

Ipsum(C)

Заголовок сообщения: Re: DGS-1100-06/me

Добавлено: Чт окт 31, 2013 22:14

Зарегистрирован: Пт июл 23, 2010 13:40
Сообщений: 133

Ура! В 1.00.B038 появился-таки ACL через SNMP..

Осталось это:

Ipsum(C) писал(а):

Вопросы администрации:

Как по SNMP посмотреть утилизацию портов, памяти и CPU? Облазил все, не нашёл.
Как узнать какой выбран Querier IP в ISM Vlan'е? Тоже не нашёл.

viewtopic.php?f=2&t=160307&start=30#p874510

Вернуться наверх

dressenau

Заголовок сообщения: Re: DGS-1100-06/me

Добавлено: Чт окт 31, 2013 23:28

Зарегистрирован: Сб июл 05, 2008 08:40
Сообщений: 168
Откуда: Сергиево-Посадский район

Artem Kolpakov писал(а):

dressenau писал(а):

Я использую на сети DHCP_LOCAL_RELAY, вы уверены что в моём случае ACL эффективны?

А почему вы считаете что это проблема? Это скорее всего просто особенность архитектуры современных коммутаторов L2 ибо ситуация в отношении ACL фильтрации DHCP пакетов, при применении dhcp snooping, повторяется и у других вендоров, но у них, как я понимаю, иначе (c-o like) реализован dhcp snooping.
С учётом всего изложенного в данной ситуации по моему логичней добавить ваш обычный функционал для фильтрации dhcp - dhcp server screening

Код:

config filter dhcp_server

Конечно же это сугубо моё личное мнение.

_________________
DGS-3627G+DGS-3120-24SC+DGS-3100-24+DGS-1100-06/ME+DES-3526+DES-3200+DES-3010G

Вернуться наверх

Страница 6 из 47

[ Сообщений: 700 ]

На страницу Пред. 1 ... 3, 4, 5, 6, 7, 8, 9 ... 47 След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 34

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения