Jump to content
Калькуляторы

Синтаксис ACL коммутатора D-link 3200-28F A1

Добрый день. Не могу подобрать синтаксис при настройке ACL на коммутаторе d-link 3200-28f старой ревизии А1. на новой (С1) правило звучит так:

 create access_profile profile_id 2 profile_name Packet packet_content_mask offset_chunk_1 3 0xFFFF offset_chunk_2 4 0xFF0000

help please

 

 

Share this post


Link to post
Share on other sites

Там не в синтаксисе дело, у А1 и С1 вообще ACL по-разному устроены. Вам с С1 надо отдельно разбираться с нуля.

Share this post


Link to post
Share on other sites

В 22.12.2017 в 12:02, serg10 сказал:

Не могу подобрать синтаксис при настройке ACL на коммутаторе d-link 3200-28f старой ревизии А1. на новой (С1) правило звучит так:

 create access_profile profile_id 2 profile_name Packet packet_content_mask offset_chunk_1 3 0xFFFF offset_chunk_2 4 0xFF0000

Попробуйте так:

create access_profile packet_content_mask offset1 l2 0 0xffff offset2 l3 0 0x00ff profile_id 1

Немного не понял конечную цель профиля. Хотите отфильтровать IPv4 с нестандартным заголовком?

Edited by xcme
Исправил маску

Share this post


Link to post
Share on other sites

Только что, xcme сказал:

Попробуйте так:


create access_profile packet_content_mask offset1 l2 0 0xffff offset2 l3 0 0xff00 profile_id 1

Немного не понял конечную цель профиля. Хотите отфильтровать IPv4 с нестандартным заголовком?

вот полная версия правила (на номера портов не смотрите)

 

create access_profile profile_id 2 profile_name Packet packet_content_mask offset_chunk_1 3 0xFFFF offset_chunk_2 4 0xFF0000

 

config access_profile profile_id 2 add access_id 1 packet_content offset_chunk_1 0x8863 offset_chunk_2 0x0007 port 1-11 deny

 

config access_profile profile_id 2 add access_id 2 packet_content offset_chunk_1 0x86dd port 1-11 deny

 

config access_profile profile_id 2 add access_id 3 packet_content offset_chunk_1 0x008b port 1-11 deny

 

config access_profile profile_id 2 add access_id 4 packet_content offset_chunk_1 0x0087 port 1-11 deny

 

config access_profile profile_id 2 add access_id 5 packet_content offset_chunk_1 0x0089 port 1-11 deny

 

config access_profile profile_id 2 add access_id 6 packet_content offset_chunk_1 0x008a port 1-11 deny

 

config access_profile profile_id 2 add access_id 7 packet_content offset_chunk_1 0x01bd port 1-11 deny

 

config access_profile profile_id 2 add access_id 8 packet_content offset_chunk_1 0x01bd port 12 permit

 

config access_profile profile_id 2 add access_id 9 packet_content offset_chunk_1 0x008a port 12 permit

 

config access_profile profile_id 2 add access_id 10 packet_content offset_chunk_1 0x0089 port 12 permit

 

config access_profile profile_id 2 add access_id 11 packet_content offset_chunk_1 0x0087 port 12 permit

 

config access_profile profile_id 2 add access_id 12 packet_content offset_chunk_1 0x008b port 12 permit

Share this post


Link to post
Share on other sites

1 час назад, serg10 сказал:

вот полная версия правила (на номера портов не смотрите)

Выше я ошибся в маске второго оффсета. Исправил в исходном сообщении (0x00ff  - правильно).

Давайте разбираться. (цэ) :)

Согласно документации чанки 3 и 4 это байты 10-13 и 14-17 соответственно, считая с нуля. Маска первого оффсета захватывает байты 12 и 13, а второго - байт 15:
 

10 11 12 13    14 15 16 17

00 00 FF FF    00 FF 00 00

Таким образом, первый оффсет соответствует ethertype, а второй - байту со значениями DSCP/ECN (в случае IPv4).

Правило ID 1 блокирует PPPoE определенного типа. Возможно - PADO.

Затем (ID 2) блокирует IPv6.

Дальше непонятный набор, не знаю таких типов.

 

Первые два правила, скорее всего (негде проверить), для старых ревизий должны выглядеть так:

create access_profile packet_content_mask offset1 l2 0 0xffff offset2 l3 0 0x00ff profile_id 1
config access_profile profile_id 1 add access_id auto_assign packet_content offset1 0x8863 offset2 0x0007 port X deny
config access_profile profile_id 1 add access_id auto_assign packet_content offset1 0x86DD port X deny

 

Share this post


Link to post
Share on other sites

1 час назад, xcme сказал:

Выше я ошибся в маске второго оффсета. Исправил в исходном сообщении (0x00ff  - правильно).

Давайте разбираться. (цэ) :)

Согласно документации чанки 3 и 4 это байты 10-13 и 14-17 соответственно, считая с нуля. Маска первого оффсета захватывает байты 12 и 13, а второго - байт 15:
 


10 11 12 13    14 15 16 17

00 00 FF FF    00 FF 00 00

Таким образом, первый оффсет соответствует ethertype, а второй - байту со значениями DSCP/ECN (в случае IPv4).

Правило ID 1 блокирует PPPoE определенного типа. Возможно - PADO.

Затем (ID 2) блокирует IPv6.

Дальше непонятный набор, не знаю таких типов.

 

Первые два правила, скорее всего (негде проверить), для старых ревизий должны выглядеть так:


create access_profile packet_content_mask offset1 l2 0 0xffff offset2 l3 0 0x00ff profile_id 1
config access_profile profile_id 1 add access_id auto_assign packet_content offset1 0x8863 offset2 0x0007 port X deny
config access_profile profile_id 1 add access_id auto_assign packet_content offset1 0x86DD port X deny

 

Спасибо за грамотный ответ.

PCF для меня сложная вещь, и не так просто в ней разобраться. а полных мануалов нигде нет, одни куски

Share this post


Link to post
Share on other sites

serg10 , почитайте здесь и здесь

Мне вполне хватило для понимания. :-)

 

P.S. Правда, через несколько лет я практически совсем отказался от ACL, за исключением "вырезания" на доступе ipv6 и multicast.

Вполне хватает имеющегося "штатного" функционала (traffic_segmentation, filter dhcp и т.п..). Профита от ACL я так и не ощутил, а вот проблем нахватался.

Особенно после замены коммутатора, или изменений в структуре сети/типа подключения, в плане использования в ACL уже "мёртвых" параметров.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.