serg10 Posted December 22, 2017 · Report post Добрый день. Не могу подобрать синтаксис при настройке ACL на коммутаторе d-link 3200-28f старой ревизии А1. на новой (С1) правило звучит так: create access_profile profile_id 2 profile_name Packet packet_content_mask offset_chunk_1 3 0xFFFF offset_chunk_2 4 0xFF0000 help please Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
BETEPAH Posted December 22, 2017 · Report post Зайдите на форум длинка, там есть спец по этим делам, под ником snark. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Stp Posted December 22, 2017 · Report post Там не в синтаксисе дело, у А1 и С1 вообще ACL по-разному устроены. Вам с С1 надо отдельно разбираться с нуля. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
xcme Posted December 25, 2017 (edited) · Report post В 22.12.2017 в 12:02, serg10 сказал: Не могу подобрать синтаксис при настройке ACL на коммутаторе d-link 3200-28f старой ревизии А1. на новой (С1) правило звучит так: create access_profile profile_id 2 profile_name Packet packet_content_mask offset_chunk_1 3 0xFFFF offset_chunk_2 4 0xFF0000 Попробуйте так: create access_profile packet_content_mask offset1 l2 0 0xffff offset2 l3 0 0x00ff profile_id 1 Немного не понял конечную цель профиля. Хотите отфильтровать IPv4 с нестандартным заголовком? Edited December 25, 2017 by xcme Исправил маску Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
serg10 Posted December 25, 2017 · Report post Только что, xcme сказал: Попробуйте так: create access_profile packet_content_mask offset1 l2 0 0xffff offset2 l3 0 0xff00 profile_id 1 Немного не понял конечную цель профиля. Хотите отфильтровать IPv4 с нестандартным заголовком? вот полная версия правила (на номера портов не смотрите) create access_profile profile_id 2 profile_name Packet packet_content_mask offset_chunk_1 3 0xFFFF offset_chunk_2 4 0xFF0000 config access_profile profile_id 2 add access_id 1 packet_content offset_chunk_1 0x8863 offset_chunk_2 0x0007 port 1-11 deny config access_profile profile_id 2 add access_id 2 packet_content offset_chunk_1 0x86dd port 1-11 deny config access_profile profile_id 2 add access_id 3 packet_content offset_chunk_1 0x008b port 1-11 deny config access_profile profile_id 2 add access_id 4 packet_content offset_chunk_1 0x0087 port 1-11 deny config access_profile profile_id 2 add access_id 5 packet_content offset_chunk_1 0x0089 port 1-11 deny config access_profile profile_id 2 add access_id 6 packet_content offset_chunk_1 0x008a port 1-11 deny config access_profile profile_id 2 add access_id 7 packet_content offset_chunk_1 0x01bd port 1-11 deny config access_profile profile_id 2 add access_id 8 packet_content offset_chunk_1 0x01bd port 12 permit config access_profile profile_id 2 add access_id 9 packet_content offset_chunk_1 0x008a port 12 permit config access_profile profile_id 2 add access_id 10 packet_content offset_chunk_1 0x0089 port 12 permit config access_profile profile_id 2 add access_id 11 packet_content offset_chunk_1 0x0087 port 12 permit config access_profile profile_id 2 add access_id 12 packet_content offset_chunk_1 0x008b port 12 permit Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
xcme Posted December 25, 2017 · Report post 1 час назад, serg10 сказал: вот полная версия правила (на номера портов не смотрите) Выше я ошибся в маске второго оффсета. Исправил в исходном сообщении (0x00ff - правильно). Давайте разбираться. (цэ) :) Согласно документации чанки 3 и 4 это байты 10-13 и 14-17 соответственно, считая с нуля. Маска первого оффсета захватывает байты 12 и 13, а второго - байт 15: 10 11 12 13 14 15 16 17 00 00 FF FF 00 FF 00 00 Таким образом, первый оффсет соответствует ethertype, а второй - байту со значениями DSCP/ECN (в случае IPv4). Правило ID 1 блокирует PPPoE определенного типа. Возможно - PADO. Затем (ID 2) блокирует IPv6. Дальше непонятный набор, не знаю таких типов. Первые два правила, скорее всего (негде проверить), для старых ревизий должны выглядеть так: create access_profile packet_content_mask offset1 l2 0 0xffff offset2 l3 0 0x00ff profile_id 1 config access_profile profile_id 1 add access_id auto_assign packet_content offset1 0x8863 offset2 0x0007 port X deny config access_profile profile_id 1 add access_id auto_assign packet_content offset1 0x86DD port X deny Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
serg10 Posted December 25, 2017 · Report post 1 час назад, xcme сказал: Выше я ошибся в маске второго оффсета. Исправил в исходном сообщении (0x00ff - правильно). Давайте разбираться. (цэ) :) Согласно документации чанки 3 и 4 это байты 10-13 и 14-17 соответственно, считая с нуля. Маска первого оффсета захватывает байты 12 и 13, а второго - байт 15: 10 11 12 13 14 15 16 17 00 00 FF FF 00 FF 00 00 Таким образом, первый оффсет соответствует ethertype, а второй - байту со значениями DSCP/ECN (в случае IPv4). Правило ID 1 блокирует PPPoE определенного типа. Возможно - PADO. Затем (ID 2) блокирует IPv6. Дальше непонятный набор, не знаю таких типов. Первые два правила, скорее всего (негде проверить), для старых ревизий должны выглядеть так: create access_profile packet_content_mask offset1 l2 0 0xffff offset2 l3 0 0x00ff profile_id 1 config access_profile profile_id 1 add access_id auto_assign packet_content offset1 0x8863 offset2 0x0007 port X deny config access_profile profile_id 1 add access_id auto_assign packet_content offset1 0x86DD port X deny Спасибо за грамотный ответ. PCF для меня сложная вещь, и не так просто в ней разобраться. а полных мануалов нигде нет, одни куски Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
AlKov Posted December 25, 2017 · Report post serg10 , почитайте здесь и здесь Мне вполне хватило для понимания. :-) P.S. Правда, через несколько лет я практически совсем отказался от ACL, за исключением "вырезания" на доступе ipv6 и multicast. Вполне хватает имеющегося "штатного" функционала (traffic_segmentation, filter dhcp и т.п..). Профита от ACL я так и не ощутил, а вот проблем нахватался. Особенно после замены коммутатора, или изменений в структуре сети/типа подключения, в плане использования в ACL уже "мёртвых" параметров. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...