Синтаксис ACL коммутатора D-link 3200-28F A1

serg10 · December 22, 2017

Добрый день. Не могу подобрать синтаксис при настройке ACL на коммутаторе d-link 3200-28f старой ревизии А1. на новой (С1) правило звучит так:

create access_profile profile_id 2 profile_name Packet packet_content_mask offset_chunk_1 3 0xFFFF offset_chunk_2 4 0xFF0000

help please

BETEPAH · December 22, 2017

Зайдите на форум длинка, там есть спец по этим делам, под ником snark.

Stp · December 22, 2017

Там не в синтаксисе дело, у А1 и С1 вообще ACL по-разному устроены. Вам с С1 надо отдельно разбираться с нуля.

xcme · December 25, 2017

В 22.12.2017 в 12:02, serg10 сказал:

Не могу подобрать синтаксис при настройке ACL на коммутаторе d-link 3200-28f старой ревизии А1. на новой (С1) правило звучит так:

create access_profile profile_id 2 profile_name Packet packet_content_mask offset_chunk_1 3 0xFFFF offset_chunk_2 4 0xFF0000

Попробуйте так:

create access_profile packet_content_mask offset1 l2 0 0xffff offset2 l3 0 0x00ff profile_id 1

Немного не понял конечную цель профиля. Хотите отфильтровать IPv4 с нестандартным заголовком?

Edited December 25, 2017 by xcme
Исправил маску

serg10 · December 25, 2017

Только что, xcme сказал:
Попробуйте так:
create access_profile packet_content_mask offset1 l2 0 0xffff offset2 l3 0 0xff00 profile_id 1
Немного не понял конечную цель профиля. Хотите отфильтровать IPv4 с нестандартным заголовком?

вот полная версия правила (на номера портов не смотрите)

create access_profile profile_id 2 profile_name Packet packet_content_mask offset_chunk_1 3 0xFFFF offset_chunk_2 4 0xFF0000

config access_profile profile_id 2 add access_id 1 packet_content offset_chunk_1 0x8863 offset_chunk_2 0x0007 port 1-11 deny

config access_profile profile_id 2 add access_id 2 packet_content offset_chunk_1 0x86dd port 1-11 deny

config access_profile profile_id 2 add access_id 3 packet_content offset_chunk_1 0x008b port 1-11 deny

config access_profile profile_id 2 add access_id 4 packet_content offset_chunk_1 0x0087 port 1-11 deny

config access_profile profile_id 2 add access_id 5 packet_content offset_chunk_1 0x0089 port 1-11 deny

config access_profile profile_id 2 add access_id 6 packet_content offset_chunk_1 0x008a port 1-11 deny

config access_profile profile_id 2 add access_id 7 packet_content offset_chunk_1 0x01bd port 1-11 deny

config access_profile profile_id 2 add access_id 8 packet_content offset_chunk_1 0x01bd port 12 permit

config access_profile profile_id 2 add access_id 9 packet_content offset_chunk_1 0x008a port 12 permit

config access_profile profile_id 2 add access_id 10 packet_content offset_chunk_1 0x0089 port 12 permit

config access_profile profile_id 2 add access_id 11 packet_content offset_chunk_1 0x0087 port 12 permit

config access_profile profile_id 2 add access_id 12 packet_content offset_chunk_1 0x008b port 12 permit

xcme · December 25, 2017

1 час назад, serg10 сказал:

вот полная версия правила (на номера портов не смотрите)

Выше я ошибся в маске второго оффсета. Исправил в исходном сообщении (0x00ff - правильно).

Давайте разбираться. (цэ) :)

Согласно документации чанки 3 и 4 это байты 10-13 и 14-17 соответственно, считая с нуля. Маска первого оффсета захватывает байты 12 и 13, а второго - байт 15:

10 11 12 13    14 15 16 17

00 00 FF FF    00 FF 00 00

Таким образом, первый оффсет соответствует ethertype, а второй - байту со значениями DSCP/ECN (в случае IPv4).

Правило ID 1 блокирует PPPoE определенного типа. Возможно - PADO.

Затем (ID 2) блокирует IPv6.

Дальше непонятный набор, не знаю таких типов.

Первые два правила, скорее всего (негде проверить), для старых ревизий должны выглядеть так:

create access_profile packet_content_mask offset1 l2 0 0xffff offset2 l3 0 0x00ff profile_id 1
config access_profile profile_id 1 add access_id auto_assign packet_content offset1 0x8863 offset2 0x0007 port X deny
config access_profile profile_id 1 add access_id auto_assign packet_content offset1 0x86DD port X deny

serg10 · December 25, 2017

1 час назад, xcme сказал:
Выше я ошибся в маске второго оффсета. Исправил в исходном сообщении (0x00ff - правильно).

Давайте разбираться. (цэ) :)

Согласно документации чанки 3 и 4 это байты 10-13 и 14-17 соответственно, считая с нуля. Маска первого оффсета захватывает байты 12 и 13, а второго - байт 15:
10 11 12 13    14 15 16 17

00 00 FF FF    00 FF 00 00
Таким образом, первый оффсет соответствует ethertype, а второй - байту со значениями DSCP/ECN (в случае IPv4).

Правило ID 1 блокирует PPPoE определенного типа. Возможно - PADO.

Затем (ID 2) блокирует IPv6.

Дальше непонятный набор, не знаю таких типов.

Первые два правила, скорее всего (негде проверить), для старых ревизий должны выглядеть так:
create access_profile packet_content_mask offset1 l2 0 0xffff offset2 l3 0 0x00ff profile_id 1
config access_profile profile_id 1 add access_id auto_assign packet_content offset1 0x8863 offset2 0x0007 port X deny
config access_profile profile_id 1 add access_id auto_assign packet_content offset1 0x86DD port X deny

Спасибо за грамотный ответ.

PCF для меня сложная вещь, и не так просто в ней разобраться. а полных мануалов нигде нет, одни куски

AlKov · December 25, 2017

serg10 , почитайте здесь и здесь

Мне вполне хватило для понимания. :-)

P.S. Правда, через несколько лет я практически совсем отказался от ACL, за исключением "вырезания" на доступе ipv6 и multicast.

Вполне хватает имеющегося "штатного" функционала (traffic_segmentation, filter dhcp и т.п..). Профита от ACL я так и не ощутил, а вот проблем нахватался.

Особенно после замены коммутатора, или изменений в структуре сети/типа подключения, в плане использования в ACL уже "мёртвых" параметров.

Sign In

Синтаксис ACL коммутатора D-link 3200-28F A1

Recommended Posts

serg10

BETEPAH

Stp

xcme

serg10

xcme

serg10

AlKov

Join the conversation