1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Пн июл 28, 2025 10:17

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 2
  [ Сообщений: 19 ]  На страницу 1, 2  След.
  Предыдущая тема | Следующая тема 
Автор Сообщение
xneo
 Заголовок сообщения: DES-1228 IP ACL
СообщениеДобавлено: Пн мар 16, 2015 18:33 
Не в сети

Зарегистрирован: Пт май 23, 2008 00:26
Сообщений: 60
Здравствуйте.
Пытаюсь отфильтровать все запросы IGMP Query на портах пользователей. Почему-то не получается, запросы проходят.

Конфиг:
Скрытый текст: показать
Код:
create access_profile  ip  igmp type  profile_id 8
config access_profile profile_id 8  add access_id 1  ip  igmp type 17    port 1-24,26-28 deny
create access_profile  packet_content_mask   offset1 l2 0 0xFFFF  offset2 l3 0 0xFF00  offset3 l3 12 0xFFFF  offset4 l3 14 0xFFFF  profile_id 10
config access_profile profile_id 10  add access_id 1  packet_content   offset1 0x0800   mask 0xffff offset2 0x4500   mask 0xff00 offset3 0x0a0b   mask 0xffff offset4 0x01af   mask 0xffff port 15 permit
config access_profile profile_id 10  add access_id 2  packet_content   offset1 0x0800   mask 0xffff offset2 0x4500   mask 0xff00 offset3 0x0a0b   mask 0xffff offset4 0x0010   mask 0xffff port 17 permit
config access_profile profile_id 10  add access_id 3  packet_content   offset1 0x0800   mask 0xffff offset2 0x4500   mask 0xff00 offset3 0x0a0b   mask 0xffff offset4 0x0245   mask 0xffff port 3 permit
config access_profile profile_id 10  add access_id 4  packet_content   offset1 0x0800   mask 0xffff offset2 0x4500   mask 0xff00 offset3 0x0a0b   mask 0xffff offset4 0x0242   mask 0xffff port 16 permit
config access_profile profile_id 10  add access_id 5  packet_content   offset1 0x0800   mask 0xffff offset2 0x4500   mask 0xff00 offset3 0x0a0b   mask 0xffff offset4 0x0163   mask 0xffff port 8 permit
config access_profile profile_id 10  add access_id 6  packet_content   offset1 0x0800   mask 0xffff offset2 0x4500   mask 0xff00 offset3 0x0a0b   mask 0xffff offset4 0x0050   mask 0xffff port 14 permit
config access_profile profile_id 10  add access_id 7  packet_content   offset1 0x0800   mask 0xffff offset2 0x4500   mask 0xff00 offset3 0x0a0b   mask 0xffff offset4 0x0090   mask 0xffff port 10 permit
config access_profile profile_id 10  add access_id 8  packet_content   offset1 0x0800   mask 0xffff offset2 0x4500   mask 0xff00 offset3 0x0a0b   mask 0xffff offset4 0x000c   mask 0xffff port 6 permit
config access_profile profile_id 10  add access_id 9  packet_content   offset1 0x0800   mask 0xffff offset2 0x4500   mask 0xff00 offset3 0x0a0b   mask 0xffff offset4 0x000a   mask 0xffff port 2 permit
config access_profile profile_id 10  add access_id 10  packet_content   offset1 0x0800   mask 0xffff offset2 0x4500   mask 0xff00 offset3 0x0000   mask 0xffff offset4 0x0000   mask 0xffff port 2-3,6,8,10,14-17 permit
create access_profile  packet_content_mask   offset1 l2 0 0xFFFF  offset2 l3 2 0xFFFF  offset3 l3 14 0xFFFF  offset4 l3 16 0xFFFF  profile_id 20
config access_profile profile_id 20  add access_id 1  packet_content   offset1 0x0806   mask 0xffff offset2 0x0800   mask 0xffff offset3 0x0a0b   mask 0xffff offset4 0x01af   mask 0xffff port 15 permit
config access_profile profile_id 20  add access_id 2  packet_content   offset1 0x0806   mask 0xffff offset2 0x0800   mask 0xffff offset3 0x0a0b   mask 0xffff offset4 0x0010   mask 0xffff port 17 permit
config access_profile profile_id 20  add access_id 3  packet_content   offset1 0x0806   mask 0xffff offset2 0x0800   mask 0xffff offset3 0x0a0b   mask 0xffff offset4 0x0245   mask 0xffff port 3 permit
config access_profile profile_id 20  add access_id 4  packet_content   offset1 0x0806   mask 0xffff offset2 0x0800   mask 0xffff offset3 0x0a0b   mask 0xffff offset4 0x0242   mask 0xffff port 16 permit
config access_profile profile_id 20  add access_id 5  packet_content   offset1 0x0806   mask 0xffff offset2 0x0800   mask 0xffff offset3 0x0a0b   mask 0xffff offset4 0x0163   mask 0xffff port 8 permit
config access_profile profile_id 20  add access_id 6  packet_content   offset1 0x0806   mask 0xffff offset2 0x0800   mask 0xffff offset3 0x0a0b   mask 0xffff offset4 0x0050   mask 0xffff port 14 permit
config access_profile profile_id 20  add access_id 7  packet_content   offset1 0x0806   mask 0xffff offset2 0x0800   mask 0xffff offset3 0x0a0b   mask 0xffff offset4 0x0090   mask 0xffff port 10 permit
config access_profile profile_id 20  add access_id 8  packet_content   offset1 0x0806   mask 0xffff offset2 0x0800   mask 0xffff offset3 0x0a0b   mask 0xffff offset4 0x000c   mask 0xffff port 6 permit
config access_profile profile_id 20  add access_id 9  packet_content   offset1 0x0806   mask 0xffff offset2 0x0800   mask 0xffff offset3 0x0a0b   mask 0xffff offset4 0x000a   mask 0xffff port 2 permit
config access_profile profile_id 20  add access_id 10  packet_content   port 2-3,6,8,10,14-17 deny
create access_profile  ip  destination_ip 255.0.0.0  profile_id 25
config access_profile profile_id 25  add access_id 1  ip  destination_ip 234.0.0.0  port 1-28 permit priority 7 replace_priority
disable cpu_interface_filtering

Профиль с ID 8 должен фильтровать IGMP Query.
Профили 10/20 пропускают только IPv4/ARP с указанных IP, все остальные пакеты отбрасываются.
Профиль ID 25 изменяет приоритет IPTV трафика.
Дамп пропущенного пакета (клиент на 17-м порту):
Вложение:
2015-03-16_172846.png
2015-03-16_172846.png [ 40.75 KiB | Просмотров: 3559 ]


Прошивка 2.50.B004, аппаратная версия B1.

Что я делаю не так?
Вернуться наверх
 Профиль  
 
Alexander Gavrilin
 Заголовок сообщения: Re: DES-1228 IP ACL
СообщениеДобавлено: Вт мар 17, 2015 10:25 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср апр 23, 2014 12:45
Сообщений: 1017
Нужно еще создать аналогичные CPU ACL и включить cpu_interface_filtering
Вернуться наверх
 Профиль  
 
xneo
 Заголовок сообщения: Re: DES-1228 IP ACL
СообщениеДобавлено: Вт мар 17, 2015 13:17 
Не в сети

Зарегистрирован: Пт май 23, 2008 00:26
Сообщений: 60
Alexander Gavrilin писал(а):
Нужно еще создать аналогичные CPU ACL и включить cpu_interface_filtering

А можно детальнее?
Аппаратно не поддерживается фильтрация по IP или именно IGMP?
Как именно будет производиться фильтрация, все пакеты будут просматриваться CPU? Или разбор IP будет производиться аппаратно а IGMP с помощью CPU?
Если все пакеты будут полностью просматриваться CPU какой поток в среднем он сможет вытянуть?
Очерёдность просмотра профилей происходит по их profile_id не зависимо от того аппаратное правило или CPU?
Вернуться наверх
 Профиль  
 
Alexander Gavrilin
 Заголовок сообщения: Re: DES-1228 IP ACL
СообщениеДобавлено: Вт мар 17, 2015 14:24 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср апр 23, 2014 12:45
Сообщений: 1017
У вас включен IGMP Snooping? при включенном IGMP Snooping весь igmp трафик обрабатывается на ЦПУ.
Очередность обработки ACL определяется profile_id.
Вернуться наверх
 Профиль  
 
xneo
 Заголовок сообщения: Re: DES-1228 IP ACL
СообщениеДобавлено: Вт мар 17, 2015 19:57 
Не в сети

Зарегистрирован: Пт май 23, 2008 00:26
Сообщений: 60
Разобрался. Вроде работает. Но уточню всё же свой вопрос.
Допустим мой конфиг:
Код:
create cpu access_profile profile_id 1 ip  igmp type
config cpu access_profile profile_id 1  add access_id 1  ip  igmp type 17    port 1-27 deny

Обработкой второй строки в нашем случае занимается CPU. А вот первая обрабатывается аппаратно или тоже CPU?
Меня интересует на сколько упадёт (если упадёт) пропускная способность коммутатора при использовании cpu_interface_filtering.
Вернуться наверх
 Профиль  
 
Alexander Gavrilin
 Заголовок сообщения: Re: DES-1228 IP ACL
СообщениеДобавлено: Ср мар 18, 2015 11:45 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср апр 23, 2014 12:45
Сообщений: 1017
CPU ACL и cpu_interface_filtering обрабатываются на ЦПУ, влияют только на загрузку ЦПУ (незначительно).
Вернуться наверх
 Профиль  
 
xneo
 Заголовок сообщения: Re: DES-1228 IP ACL
СообщениеДобавлено: Ср мар 18, 2015 18:06 
Не в сети

Зарегистрирован: Пт май 23, 2008 00:26
Сообщений: 60
Ещё один вопрос. На моделях DES-3200-26, DES-3200-28F, DES-3200-52, DES-1210-28/ME логика(настройка) фильтрации IGMP аналогичная?
Вернуться наверх
 Профиль  
 
Alexander Gavrilin
 Заголовок сообщения: Re: DES-1228 IP ACL
СообщениеДобавлено: Чт мар 19, 2015 11:47 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср апр 23, 2014 12:45
Сообщений: 1017
На серии 3200 С1 все аналогично. На DES-1210-28/ME используйте обычные ACL (на данный момент они осуществляют фильтрацию IGMP трафика)
Вернуться наверх
 Профиль  
 
xneo
 Заголовок сообщения: Re: DES-1228 IP ACL
СообщениеДобавлено: Чт мар 19, 2015 12:50 
Не в сети

Зарегистрирован: Пт май 23, 2008 00:26
Сообщений: 60
А по поводу DES-3200-26 rev.B1 ?
Вернуться наверх
 Профиль  
 
Alexander Gavrilin
 Заголовок сообщения: Re: DES-1228 IP ACL
СообщениеДобавлено: Чт мар 19, 2015 12:59 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср апр 23, 2014 12:45
Сообщений: 1017
Логика аналогична.
Вернуться наверх
 Профиль  
 
filin911
 Заголовок сообщения: Re: DES-1228 IP ACL
СообщениеДобавлено: Пн мар 23, 2015 14:49 
Не в сети

Зарегистрирован: Пн мар 23, 2015 14:39
Сообщений: 5
чтобы не плодить темы: не могу найти точную информацию по Dlink 1228 Web Smart Switch A1G : есть функция dhcp snooping ? dhcp relay, dhcp relay option 82 вроде есть
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения: Re: DES-1228 IP ACL
СообщениеДобавлено: Пн мар 23, 2015 15:46 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Уточните, пожалуйста, какая у Вас версия прошивки на коммутаторе.
Вернуться наверх
 Профиль  
 
filin911
 Заголовок сообщения: Re: DES-1228 IP ACL
СообщениеДобавлено: Пн мар 23, 2015 17:47 
Не в сети

Зарегистрирован: Пн мар 23, 2015 14:39
Сообщений: 5
сегодня не смогу уточнить, продавец не хочет открывать коробку, постараюсь завтра узнать. а в какой прошивке этот функционал присутствует?
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения: Re: DES-1228 IP ACL
СообщениеДобавлено: Пн мар 23, 2015 18:18 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Мне дополнительно нужно уточнить какой у Вас коммутатор, поэтому и запросил версию прошивки. Она на самой коробке указана.
Судя по всему ни одной из перечисленных функций на указанном Вами коммутаторе нет, если это обычный Smart DES-1228.
Вернуться наверх
 Профиль  
 
filin911
 Заголовок сообщения: Re: DES-1228 IP ACL
СообщениеДобавлено: Пн мар 23, 2015 19:47 
Не в сети

Зарегистрирован: Пн мар 23, 2015 14:39
Сообщений: 5
тогда спрошу по другому: какие коммутаторы посоветуете этого функционала (dhcp snooping, dhcp relay, dhcp relay option 82)? можно из снятых с производства, буду искать б/у
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 2
  [ Сообщений: 19 ]  На страницу 1, 2  След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 13

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB