[DD-WRT]

Есть участок сети в центре которого стоит DES3528 к нему подключены обычные мыльницы, к мыльница подключены клиенты, настроен ACL следующим образом

 

create access_profile ip source_ip_mask 255.255.255.255 profile_id 5

config access_profile profile_id 5 add access_id 1 ip source_ip 192.168.1.1 port 5 permit

create access_profile ip source_ip_mask 0.0.0.0 profile_id 6

config access_profile profile_id 6 add access_id 2 ip source_ip 0.0.0.0 port 5 deny

 

create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF profile_id 10

config access_profile profile_id 10 add access_id 1 ethernet source_mac 00-1F-D0-54-BE-E4 port 5 permit

create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 11

config access_profile profile_id 11 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 5 deny

 

будет ли при такой схеме ACL проверяться связка IP +MAC, то есть пропустить пакеты в случае совпадения связки IP+MAC

 

[mschedrin]

Не будет. Фаервол работает до первого срабатывания правила. Здесь либо пролезет пакет с любым маком, если source ip правильный, либо дропнется 6 профилем. Ну а не ip пакеты доберутся до 10 профиля.

 

Надо использовать packet content acl, либо ip mac binding.

Изменено 23 октября, 2010 пользователем mschedrin

[Mallorn]

Мы тоже купили 2 железки des-3528 на пробу, хотели менять\добавлять взамен des-3526.

И тут поджидал неожиданный облом от длинка: на 3528 можно создать ТОЛЬКО ОДИН профиль packet_content_filter. А учитывая тот факт, что у этой железки можно сделать не более 128 правил в одном профиле, то число привязок ip-mac становится не более 128 абонентов на одну железку, что прискорбно. Ибо 3526 тянет 500 правил, и даже 3028 несет до 200 правил. И это при том факте, что максимально в des-3528 можно создать до 1790 правил (14 профилей по 128 правил). Так что будьте в курсе.

 

С ip-mac port binding все тоже непросто. Можно создать до 512 правил, все вроде бы ок. По докам длинка ipmb в режиме acl должны учитываться предыдущие правила. Но если ip-mac нет в списке, то все разрешающие acl, стоящие "выше" игнорируются. Т.е. при наличии задолженности абонент не может уже на свой личный кабинет попасть. И вообще уже ничего не может. А это как-то неудобно и вообще неправильно.

 

Может кто знает, как еще сделать привязки ip-mac на этом железе, разрешая доступ к определенным ресурсам при блокировке абонента?

[mschedrin]

Такая же проблема с количеством acl. Что делать пока не ясно :(

[Tosha]

Может кто знает, как еще сделать привязки ip-mac на этом железе, разрешая доступ к определенным ресурсам при блокировке абонента?

А дедовский способ выделить для отключенных свой набор VLAN, который далее некоторых серверов не пускать?

 

В этом случае если должник - порт переключается в другой VLAN и прощай интернет, здравствуй родная страница с красной надписью "дай денег".

[Mallorn]

Может кто знает, как еще сделать привязки ip-mac на этом железе, разрешая доступ к определенным ресурсам при блокировке абонента?

А дедовский способ выделить для отключенных свой набор VLAN, который далее некоторых серверов не пускать?

 

В этом случае если должник - порт переключается в другой VLAN и прощай интернет, здравствуй родная страница с красной надписью "дай денег".

Способ работает, но на одном порту много больше 1 абонента находится. Еще не все ставят L2 свитчи на дом, увы.