Jump to content
Калькуляторы

Прошу разьяснить DES 3528

Есть участок сети в центре которого стоит DES3528 к нему подключены обычные мыльницы, к мыльница подключены клиенты, настроен ACL следующим образом

 

create access_profile ip source_ip_mask 255.255.255.255 profile_id 5

config access_profile profile_id 5 add access_id 1 ip source_ip 192.168.1.1 port 5 permit

create access_profile ip source_ip_mask 0.0.0.0 profile_id 6

config access_profile profile_id 6 add access_id 2 ip source_ip 0.0.0.0 port 5 deny

 

create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF profile_id 10

config access_profile profile_id 10 add access_id 1 ethernet source_mac 00-1F-D0-54-BE-E4 port 5 permit

create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 11

config access_profile profile_id 11 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 5 deny

 

будет ли при такой схеме ACL проверяться связка IP +MAC, то есть пропустить пакеты в случае совпадения связки IP+MAC

 

Share this post


Link to post
Share on other sites

Не будет. Фаервол работает до первого срабатывания правила. Здесь либо пролезет пакет с любым маком, если source ip правильный, либо дропнется 6 профилем. Ну а не ip пакеты доберутся до 10 профиля.

 

Надо использовать packet content acl, либо ip mac binding.

Edited by mschedrin

Share this post


Link to post
Share on other sites

Мы тоже купили 2 железки des-3528 на пробу, хотели менять\добавлять взамен des-3526.

И тут поджидал неожиданный облом от длинка: на 3528 можно создать ТОЛЬКО ОДИН профиль packet_content_filter. А учитывая тот факт, что у этой железки можно сделать не более 128 правил в одном профиле, то число привязок ip-mac становится не более 128 абонентов на одну железку, что прискорбно. Ибо 3526 тянет 500 правил, и даже 3028 несет до 200 правил. И это при том факте, что максимально в des-3528 можно создать до 1790 правил (14 профилей по 128 правил). Так что будьте в курсе.

 

С ip-mac port binding все тоже непросто. Можно создать до 512 правил, все вроде бы ок. По докам длинка ipmb в режиме acl должны учитываться предыдущие правила. Но если ip-mac нет в списке, то все разрешающие acl, стоящие "выше" игнорируются. Т.е. при наличии задолженности абонент не может уже на свой личный кабинет попасть. И вообще уже ничего не может. А это как-то неудобно и вообще неправильно.

 

Может кто знает, как еще сделать привязки ip-mac на этом железе, разрешая доступ к определенным ресурсам при блокировке абонента?

Share this post


Link to post
Share on other sites

Такая же проблема с количеством acl. Что делать пока не ясно :(

Share this post


Link to post
Share on other sites
Может кто знает, как еще сделать привязки ip-mac на этом железе, разрешая доступ к определенным ресурсам при блокировке абонента?

А дедовский способ выделить для отключенных свой набор VLAN, который далее некоторых серверов не пускать?

 

В этом случае если должник - порт переключается в другой VLAN и прощай интернет, здравствуй родная страница с красной надписью "дай денег".

Share this post


Link to post
Share on other sites
Может кто знает, как еще сделать привязки ip-mac на этом железе, разрешая доступ к определенным ресурсам при блокировке абонента?

А дедовский способ выделить для отключенных свой набор VLAN, который далее некоторых серверов не пускать?

 

В этом случае если должник - порт переключается в другой VLAN и прощай интернет, здравствуй родная страница с красной надписью "дай денег".

Способ работает, но на одном порту много больше 1 абонента находится. Еще не все ставят L2 свитчи на дом, увы.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this