Коллеги добрый день - нужна помощь в нарисовать ACL для DES3052.

Задача - пропустить в таком-то влане такой-то IP, не трогая трафик в остальных vlan.

Например

vlan 80
разрешить запросы dhcp
1 порт разрешить ip 192.168.29.21
2 порт разрешить ip 192.168.29.22

Можно собрать из этих двух примеров:

# Разрешить любые тегированные фреймы.

Маску 0xffff0000 заменить на 0xffffffff, а0x81000000 на 0x81000050 и дописать нужный оффсет из примера ниже.

# Запретить сети 172.17.0.0/16 и 10.99.0.0/16
# Применяется к нетегированному трафику, т.к. байты смещены относительно нетегированного


Про смещение байт также написано в FAQ от D-Link.

_________________
D-Link Switches: Tips & Tricks

rкакраз из них и пытаюсь собрать.
мне-то нужно зацепиться к конкретному vlan
и кроме непосредственного IP пропустить ещё dhcp запрос с этого порта и multicast join

Сижу пытаюсь в кучу всё это собрать

Есть дамп такого пакета? Который с меткой 802.1q.

_________________
D-Link Switches: Tips & Tricks

там несколько пакетов получается. если сам не запутался то в таком порядке

1) запрашиваем по dhcp свой ip
2) получаем IP и имеем выход во внешний мир
3) подключаемся к multicast каналу и смотрим кино

Дамп каких из этапов нужно собрать?

Тогда задачу не решить так, как обозначено в условии. Раз тут и броадкаст и IP и мультикаст и все все все, то тут нужен комплекс правил, а это всегда индивидуально решается. Да и может просто напросто не хватить правил - эта серия не очень то гибкая в этом отношении. Может просто "разрешить определенный vlan" и все, без дополнительных условий?

_________________
D-Link Switches: Tips & Tricks

увы. так поимею другую проблему, со стороны органов,если что.

То есть есть порт с 3-4 вланами в сторону клиента.
К примеру:
vlan 10 - PPPoE
vlan 100 - IP телефония
vlan 1000 - multicast vlan
vlan 1500 internet for stb (интернет для iptv приставок)

Задача в общем-то -в vlan 1500 защититься от того что пользователь поставит себе другой IP.

Воткнёт к примеру вместо приставки ноут и где-то в интернете нагадит. А затем придут соответствующие органы и попросят назвать кто это был с таким-то IP.

А потом придут силовые струткуры попрсят сказть

То есть задача в общем-то защитится от подмены IP в 1500 влане.
Проще говоря что бы точно знать что такой то IP есть только на таком-то порту такого-то коммутатора

Порт клиенту отдается как tag ил как untag? Для 3028-3052 это принципиально для построения ACL.
У меня есть готовое решение для варианта с untag. Чтобы абонент не поставил себе другой IP, от его трафика отрезаются чужие SCR IP и ARP.
Если порт уходит с 3052 как тегированный, надо дописать оффсет как в первром примере выше и сместить байты вправо как по ссылке.

_________________
D-Link Switches: Tips & Tricks

tag
Без тега идёт только 10 влан. остальное в теге

но мне ещё и что бы ацл срабатывал только в определённом vlan надо.. а не по всем пакетикам на порту

В общем вроде бы нарисоваkjcm правило.
Проверю 3 вещи. src mac vlan src ip

Вопрос в том - на каких моделях ревизии внутри в ACL если что нужно учитывать что может быть пакет без тега?

На DES-3028, в т.ч. G/P и DES-3052. Возможно на DES-1228/ME/A1 (у него вроде тот же чипсет). Про другие не в курсе.

_________________
D-Link Switches: Tips & Tricks

Ооокей. в любом случае ещё всё на стенде попроверяю