1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Пт авг 01, 2025 00:35

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 2
  [ Сообщений: 17 ]  На страницу 1, 2  След.
  Предыдущая тема | Следующая тема 
Автор Сообщение
Kolobokteam
 Заголовок сообщения: Что не разрешено, то запрещено
СообщениеДобавлено: Пн окт 21, 2013 13:47 
Не в сети

Зарегистрирован: Вт фев 07, 2012 10:47
Сообщений: 302
Откуда: Красноярск
Коллеги! Столкнулся с непонятным поведением коммутаторов DES-3526 и DES-3550.
Настраиваю ACL по принципу "рубится всё, кроме нужного"
Код:
create access_profile  ethernet  ethernet_type  profile_id 10
config access_profile profile_id 10 add access_id auto_assign ethernet ethernet_type 0x0806 port 1-50 permit
config access_profile profile_id 10 add access_id auto_assign ethernet ethernet_type 0x0800 port 1-50 permit

create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 99
config access_profile profile_id 99 add access_id auto_assign ethernet source_mac 00-00-00-00-00-00 port 1-48 deny


И пакеты совсем перестают ходить. Что я делаю не так?

_________________
Народ и партия - едины!
Вернуться наверх
 Профиль  
 
Kolobokteam
 Заголовок сообщения: Re: Что не разрешено, то запрещено
СообщениеДобавлено: Вт окт 22, 2013 12:20 
Не в сети

Зарегистрирован: Вт фев 07, 2012 10:47
Сообщений: 302
Откуда: Красноярск
Причём, в точности такая же конструкция на коммутаторах 3200-хх и 1228МЕ отрабатывает безупречно.

_________________
Народ и партия - едины!
Вернуться наверх
 Профиль  
 
xcme
 Заголовок сообщения: Re: Что не разрешено, то запрещено
СообщениеДобавлено: Вт окт 22, 2013 18:44 
Не в сети

Зарегистрирован: Вс дек 21, 2008 18:53
Сообщений: 1308
1-м профилем вы разрешаете арп, а 99-м блокируете изернет. Если хотите блокировать броадкаст используйте FF-FF-FF-FF-FF-FF в маске профиля и в правиле.

p.s. Не заметил второе правило в 1-м профиле. По идее должен работать arp/ip.

_________________
D-Link Switches: Tips & Tricks
Вернуться наверх
 Профиль  
 
Kolobokteam
 Заголовок сообщения: Re: Что не разрешено, то запрещено
СообщениеДобавлено: Ср окт 23, 2013 07:08 
Не в сети

Зарегистрирован: Вт фев 07, 2012 10:47
Сообщений: 302
Откуда: Красноярск
В том-то и дело, что конструкция не работает. Я хочу разрешить протокол ARP и протокол IPv4. Вс ё остальное должно блокироваться, включая IPv6, AppleTalk, IPX и прочее. но по какойто причине блокируется вообще всё, несмотря на то, что есть разрешающие правила с более низким номером.

Бродкасты у меня рубятся в другом месте конфига - ограничивается число пакетов в секунду. Этого вполне достаточно, чтобы избежать штормов. Я же хочу запретить вообще любой трафик, кроме того, что нужен мне. Неужели никто не составлял такие правила?

_________________
Народ и партия - едины!
Вернуться наверх
 Профиль  
 
Kolobokteam
 Заголовок сообщения: Re: Что не разрешено, то запрещено
СообщениеДобавлено: Чт окт 24, 2013 03:24 
Не в сети

Зарегистрирован: Вт фев 07, 2012 10:47
Сообщений: 302
Откуда: Красноярск
Может, версия прошивки поможет прояснить ситуацию?

DES-3550 Fast Ethernet Switch Command Line Interface

Firmware: Build 6.20.B20
Copyright(C) 2011 D-Link Corporation. All rights reserved.

_________________
Народ и партия - едины!
Вернуться наверх
 Профиль  
 
alex_ov
 Заголовок сообщения: Re: Что не разрешено, то запрещено
СообщениеДобавлено: Чт окт 24, 2013 08:49 
Не в сети

Зарегистрирован: Пн ноя 27, 2006 19:25
Сообщений: 265
Откуда: Крым
Kolobokteam писал(а):
Может, версия прошивки поможет прояснить ситуацию?

DES-3550 Fast Ethernet Switch Command Line Interface

Firmware: Build 6.20.B20
Copyright(C) 2011 D-Link Corporation. All rights reserved.

Где сумели достать такую прошивку? Тут на форуме последняя выложенная версия 6.20.В19

Я в свое время отказался от такой схемы "запрета всего", потому как это режет также пакетики STP, LBD и прочий полезный мультикаст.
Вернуться наверх
 Профиль  
 
Kolobokteam
 Заголовок сообщения: Re: Что не разрешено, то запрещено
СообщениеДобавлено: Чт окт 24, 2013 11:47 
Не в сети

Зарегистрирован: Вт фев 07, 2012 10:47
Сообщений: 302
Откуда: Красноярск
ftp.dlink.ru/pub/Switch/DES-3526/Firmware/DES3526R6_6.20.B20.had
ftp.dlink.ru/pub/Switch/DES-3550/Firmware/DES3550R6_6.20.B20.had

Запрет всего и вся касается только абонентских портов (port 1-48 deny), поэтому такая схема весьма продуктивна.

_________________
Народ и партия - едины!
Вернуться наверх
 Профиль  
 
alex_ov
 Заголовок сообщения: Re: Что не разрешено, то запрещено
СообщениеДобавлено: Чт окт 24, 2013 12:03 
Не в сети

Зарегистрирован: Пн ноя 27, 2006 19:25
Сообщений: 265
Откуда: Крым
То есть, автоматический отлов петель и замыканий на абонентских портах с помощью LBD вам не интересен?
Мы без этого бы недолго просуществовали...

Попробуйте взять прошивку 6.20.В19 с форума, а не с фтп. Там те же глюки с АЦЛ?
Вернуться наверх
 Профиль  
 
Kolobokteam
 Заголовок сообщения: Re: Что не разрешено, то запрещено
СообщениеДобавлено: Чт окт 24, 2013 13:14 
Не в сети

Зарегистрирован: Вт фев 07, 2012 10:47
Сообщений: 302
Откуда: Красноярск
Ну отчего же...
LBD вполне себе исправно функционирует

Код:
enable loopdetect
config loopdetect recover_timer 10800
config loopdetect interval 10
config loopdetect mode port-based
config loopdetect ports 1-48 state enabled
config loopdetect ports 49-50 state disabled


Насколько мне известно, он отрабатывает до ACL и запрет всего нисколько не мешает. Хотя, надо признаться, на стенде не проверял.

На B19 прошивке глюки те же самые.

_________________
Народ и партия - едины!
Вернуться наверх
 Профиль  
 
Kolobokteam
 Заголовок сообщения: Re: Что не разрешено, то запрещено
СообщениеДобавлено: Вс окт 27, 2013 08:44 
Не в сети

Зарегистрирован: Вт фев 07, 2012 10:47
Сообщений: 302
Откуда: Красноярск
В общем, никто ничего не знает. Печально.

_________________
Народ и партия - едины!
Вернуться наверх
 Профиль  
 
falameezaar
 Заголовок сообщения: Re: Что не разрешено, то запрещено
СообщениеДобавлено: Ср окт 30, 2013 20:32 
Не в сети

Зарегистрирован: Сб апр 12, 2008 01:21
Сообщений: 260
Откуда: Airbites->UARNet/Львов
А если два правила 10 профиля разнести в разные профили?
Скажем
Код:
create access_profile  ethernet  ethernet_type  profile_id 10
config access_profile profile_id 10 add access_id auto_assign ethernet ethernet_type 0x0806 port 1-48 permit
create access_profile  ethernet  ethernet_type  profile_id 11
config access_profile profile_id 11 add access_id auto_assign ethernet ethernet_type 0x0800 port 1-48 permit

?

Хотя проверил у себя Вашу изначальную конструкцию на 3526
Код:
Boot PROM Version : Build 5.00.009
Firmware Version  : Build 6.00.B22
Hardware Version  : 0A3G

Всё работает как надо...

_________________
AB-Style: Выходных дней два в году - Новый Год и Апокалипсис. Да и то что-то с Апокалипсисом не везёт...
D-Link User: DES-3526/3550, DES-3528, DES-3018, DES-3200-XX, DGS-3612/3627G, DCS-9x0, DCS-3220, DVG-5112S, DPH-400S + разные роутеры и медиаконвертеры
Вернуться наверх
 Профиль  
 
mbc44
 Заголовок сообщения: Re: Что не разрешено, то запрещено
СообщениеДобавлено: Чт окт 31, 2013 06:41 
Не в сети

Зарегистрирован: Пн дек 20, 2010 03:17
Сообщений: 206
У нас похожая конструкция работает на 6.20.b09.

З.Ы. Обычно D-link не выкладывает на своем ftp-сервере бета версий прошивок. Означает ли факт появления версии 6.20.b20 на ftp-сервере, что данная прошивка - релиз?
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения: Re: Что не разрешено, то запрещено
СообщениеДобавлено: Чт окт 31, 2013 12:55 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
2 mbc44: Бета-версии прошивок теперь будут постепенно появляться на FTP. Но пока основным источником актуальных версий прошивок является наш форум.
Вернуться наверх
 Профиль  
 
Kolobokteam
 Заголовок сообщения: Re: Что не разрешено, то запрещено
СообщениеДобавлено: Пт ноя 01, 2013 04:05 
Не в сети

Зарегистрирован: Вт фев 07, 2012 10:47
Сообщений: 302
Откуда: Красноярск
Интересная какая штука получается...

В первом своём посте ради сокращения я привёл только часть конфига. И действительно, если применять его в том виде, в котором я написал в начале - всё работает как надо. По факту у меня правила немного сложнее:

Код:
create access_profile  ethernet source_mac FF-FF-FF-FF-FF-FF destination_mac FF-FF-FF-FF-FF-FF ethernet_type profile_id 10
config access_profile profile_id 10 add access_id auto_assign ethernet source_mac 30-F7-0D-3E-85-00 ethernet_type 0x8863 port 50 permit
config access_profile profile_id 10 add access_id auto_assign ethernet source_mac 30-F7-0D-3E-85-00 ethernet_type 0x8864 port 50 permit
...
бла-бла-бла
...
config access_profile profile_id 10 add access_id auto_assign ethernet ethernet_type 0x0806 port 1-50 permit
config access_profile profile_id 10 add access_id auto_assign ethernet ethernet_type 0x0800 port 1-50 permit

create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 99
config access_profile profile_id 99 add access_id auto_assign ethernet source_mac 00-00-00-00-00-00 port 1-48 deny


И вот в таком виде уже не работает. Разница - в дополнительных масках.

Пришлось изобретать костыль:
Код:
create access_profile  ethernet source_mac FF-FF-FF-FF-FF-FF destination_mac FF-FF-FF-FF-FF-FF ethernet_type profile_id 10
config access_profile profile_id 10 add access_id auto_assign ethernet source_mac 30-F7-0D-3E-85-00 ethernet_type 0x8863 port 50 permit
config access_profile profile_id 10 add access_id auto_assign ethernet source_mac 30-F7-0D-3E-85-00 ethernet_type 0x8864 port 50 permit
...
бла-бла-бла
...

create access_profile  ethernet ethernet_type profile_id 20
config access_profile profile_id 20 add access_id auto_assign ethernet ethernet_type 0x0806 port 1-50 permit
config access_profile profile_id 20 add access_id auto_assign ethernet ethernet_type 0x0800 port 1-50 permit

create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 99
config access_profile profile_id 99 add access_id auto_assign ethernet source_mac 00-00-00-00-00-00 port 1-48 deny


В чём разница?

_________________
Народ и партия - едины!
Вернуться наверх
 Профиль  
 
Kolobokteam
 Заголовок сообщения: Re: Что не разрешено, то запрещено
СообщениеДобавлено: Сб ноя 09, 2013 04:32 
Не в сети

Зарегистрирован: Вт фев 07, 2012 10:47
Сообщений: 302
Откуда: Красноярск
alex_ov писал(а):
То есть, автоматический отлов петель и замыканий на абонентских портах с помощью LBD вам не интересен?
Мы без этого бы недолго просуществовали...

Попробуйте взять прошивку 6.20.В19 с форума, а не с фтп. Там те же глюки с АЦЛ?


Проверено на стенде - loopbackdetection работатет даже с правилом "запрещено всё"

_________________
Народ и партия - едины!
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 2
  [ Сообщений: 17 ]  На страницу 1, 2  След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 24

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB