Jump to content
Калькуляторы

PPPoE ACL

Есть разношорстное оборудование

DLINK DES-3028

Cisco cat 29 серии 35 серии

Способ предоставления услуг PPPoE.

Каким образом можно ограничить по порту, чтобы ходил только PPPoE??

 

 

Share this post


Link to post
Share on other sites

forum.dlink.ru

100-500 раз обсуждалось, вроде даже в FAQ есть на их сайте

Share this post


Link to post
Share on other sites

 

#DES-3028 1-24 customers, 25 Dowlink, 26 Uplink

 

config traffic trap none

config traffic control 1-28 broadcast enable action shutdown threshold 64000

config traffic control 1-28 multicast enable action shutdown threshold 64000

 

config traffic_segmentation 1-25,27-28 forward_list 26

config traffic_segmentation 26 forward_list 1-28

 

disable port_security trap_log

config port_security ports 1-24 admin_state enable max_learning_addr 1 lock_address_mode DeleteOnTimeout

config port_security ports 25-28 admin_state disable max_learning_addr 1 lock_address_mode DeleteOnTimeout

 

config vlan default delete 1-28

config vlan default add forbidden 1-28

create vlan krb-control tag 19

config vlan krb-control add tagged 25-28

create vlan PPPoE(207) tag 207

config vlan PPPoE(207) add tagged 25-28

config vlan PPPoE(207) add untagged 1-24

 

enable loopdetect

config loopdetect ports 1-28 state enable

 

config ipif System vlan krb-control ipaddress 172.16.4.103/24 state enable

create iproute default 172.16.4.1 1

 

create access_profile packet_content_mask offset_0-15 0x0 0x0 0x0 0xFFFF00FF profile_id 1

#Disable PADO

config access_profile profile_id 1 add access_id 1 packet_content offset 12 0x88630007 port 1-25,27-28 deny

#Disable PADI

config access_profile profile_id 1 add access_id 2 packet_content offset 12 0x88630009 port 26 deny

 

 

 

create access_profile ethernet ethernet_type profile_id 2

config access_profile profile_id 2 add access_id 1 ethernet ethernet_type 0x8863 port 1-24 permit

config access_profile profile_id 2 add access_id 2 ethernet ethernet_type 0x8864 port 1-24 permit

 

create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 3

config access_profile profile_id 3 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 25-28 permit

 

create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 4

config access_profile profile_id 4 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-28 deny

Суть - разрешить с портов 1-24 только пакеты PPPoE и только "на верх"

25 порт - для соединения со следущим свичем.

19 влан - управляющий.

207 - абонентский (изолированый)

 

На 29-х каталистах так не сделать :-(

Share this post


Link to post
Share on other sites

а pppoe как как себя поведет с изоляцией портов ?

Edited by kf72

Share this post


Link to post
Share on other sites
create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 4

config access_profile profile_id 4 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-28 deny

Некоторые бродкасты (например, DHCP) вроде бы через такое правило проходят.

Share this post


Link to post
Share on other sites

добрые люди может кто знает как сделать тоже самое но для Huawei 3226

 

заранее благодарен

Share this post


Link to post
Share on other sites

без проблем

traffic classifier

traffic behavior

traffic policy (associates classifier с бехейвером)

Share this post


Link to post
Share on other sites
create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 4

config access_profile profile_id 4 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-28 deny

Некоторые бродкасты (например, DHCP) вроде бы через такое правило проходят.

Это если включен дхцп-релей, сии пакеты обрабатываются цпу, емнип.

Edited by pppoetest

Share this post


Link to post
Share on other sites

# PPPoE
create access_profile                                        ethernet ethernet_type profile_id 1
config access_profile profile_id 1 add access_id auto_assign ethernet ethernet_type 0x8863 port all permit
create access_profile                                        ethernet ethernet_type profile_id 2
config access_profile profile_id 2 add access_id auto_assign ethernet ethernet_type 0x8864 port all permit

# DHCP
create access_profile                                        ip udp src_port_mask 0xffff dst_port_mask 0xffff profile_id 3
config access_profile profile_id 3 add access_id auto_assign ip udp src_port        68   dst_port        67 port 1-24 permit

# deny all
create access_profile                                        ethernet source_mac 00-00-00-00-00-00 profile_id 4
config access_profile profile_id 4 add access_id auto_assign ethernet source_mac 00-00-00-00-00-00 port 1-24 deny

 

Через DHCP выдаете юзерам любые адреса только для того, чтобы венда не выключала сетевушку.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this