detx Posted July 5, 2010 Posted July 5, 2010 Есть разношорстное оборудование DLINK DES-3028 Cisco cat 29 серии 35 серии Способ предоставления услуг PPPoE. Каким образом можно ограничить по порту, чтобы ходил только PPPoE?? Вставить ник Quote
BuHast Posted July 5, 2010 Posted July 5, 2010 forum.dlink.ru 100-500 раз обсуждалось, вроде даже в FAQ есть на их сайте Вставить ник Quote
Ivan Rostovikov Posted July 5, 2010 Posted July 5, 2010 #DES-3028 1-24 customers, 25 Dowlink, 26 Uplink config traffic trap none config traffic control 1-28 broadcast enable action shutdown threshold 64000 config traffic control 1-28 multicast enable action shutdown threshold 64000 config traffic_segmentation 1-25,27-28 forward_list 26 config traffic_segmentation 26 forward_list 1-28 disable port_security trap_log config port_security ports 1-24 admin_state enable max_learning_addr 1 lock_address_mode DeleteOnTimeout config port_security ports 25-28 admin_state disable max_learning_addr 1 lock_address_mode DeleteOnTimeout config vlan default delete 1-28 config vlan default add forbidden 1-28 create vlan krb-control tag 19 config vlan krb-control add tagged 25-28 create vlan PPPoE(207) tag 207 config vlan PPPoE(207) add tagged 25-28 config vlan PPPoE(207) add untagged 1-24 enable loopdetect config loopdetect ports 1-28 state enable config ipif System vlan krb-control ipaddress 172.16.4.103/24 state enable create iproute default 172.16.4.1 1 create access_profile packet_content_mask offset_0-15 0x0 0x0 0x0 0xFFFF00FF profile_id 1 #Disable PADO config access_profile profile_id 1 add access_id 1 packet_content offset 12 0x88630007 port 1-25,27-28 deny #Disable PADI config access_profile profile_id 1 add access_id 2 packet_content offset 12 0x88630009 port 26 deny create access_profile ethernet ethernet_type profile_id 2 config access_profile profile_id 2 add access_id 1 ethernet ethernet_type 0x8863 port 1-24 permit config access_profile profile_id 2 add access_id 2 ethernet ethernet_type 0x8864 port 1-24 permit create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 3 config access_profile profile_id 3 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 25-28 permit create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 4 config access_profile profile_id 4 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-28 deny Суть - разрешить с портов 1-24 только пакеты PPPoE и только "на верх"25 порт - для соединения со следущим свичем. 19 влан - управляющий. 207 - абонентский (изолированый) На 29-х каталистах так не сделать :-( Вставить ник Quote
kf72 Posted July 5, 2010 Posted July 5, 2010 (edited) а pppoe как как себя поведет с изоляцией портов ? Edited July 5, 2010 by kf72 Вставить ник Quote
Ivan Rostovikov Posted July 5, 2010 Posted July 5, 2010 больше 1000 свичей, полет нормальный. Вставить ник Quote
msdt Posted July 5, 2010 Posted July 5, 2010 create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 4config access_profile profile_id 4 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-28 deny Некоторые бродкасты (например, DHCP) вроде бы через такое правило проходят. Вставить ник Quote
Ivan Rostovikov Posted July 6, 2010 Posted July 6, 2010 Завтра попробую уточнить у Дилинковцев. Вставить ник Quote
dixan Posted May 19, 2014 Posted May 19, 2014 добрые люди может кто знает как сделать тоже самое но для Huawei 3226 заранее благодарен Вставить ник Quote
s.lobanov Posted May 19, 2014 Posted May 19, 2014 без проблем traffic classifier traffic behavior traffic policy (associates classifier с бехейвером) Вставить ник Quote
pppoetest Posted May 19, 2014 Posted May 19, 2014 (edited) create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 4config access_profile profile_id 4 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-28 deny Некоторые бродкасты (например, DHCP) вроде бы через такое правило проходят. Это если включен дхцп-релей, сии пакеты обрабатываются цпу, емнип. Edited May 19, 2014 by pppoetest Вставить ник Quote
snark Posted May 29, 2014 Posted May 29, 2014 # PPPoE create access_profile ethernet ethernet_type profile_id 1 config access_profile profile_id 1 add access_id auto_assign ethernet ethernet_type 0x8863 port all permit create access_profile ethernet ethernet_type profile_id 2 config access_profile profile_id 2 add access_id auto_assign ethernet ethernet_type 0x8864 port all permit # DHCP create access_profile ip udp src_port_mask 0xffff dst_port_mask 0xffff profile_id 3 config access_profile profile_id 3 add access_id auto_assign ip udp src_port 68 dst_port 67 port 1-24 permit # deny all create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 4 config access_profile profile_id 4 add access_id auto_assign ethernet source_mac 00-00-00-00-00-00 port 1-24 deny Через DHCP выдаете юзерам любые адреса только для того, чтобы венда не выключала сетевушку. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.