Mikler Опубликовано 6 июня, 2014 · Жалоба Доброе время суток. Есть пару задач которые надо решить с помощью этого коммутатора и которые не совсем хотят решаться в моем понимании. 1. Ограничить доступ всем кроме выбранных MAC до UPLINK. 2. Вырезать пакеты определенного типа с пары портов. Видимо я что то в ACL не понимаю от D-Link. Посоветуйте как лучше все это организовать и где почитать. Заранее спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 6 июня, 2014 · Жалоба 1. На все порты навешать ACL source_mac 2. Это можно сделать как обычным ACL, так и через packet_content_mask (если байтов хватит). Зависит от типа пакетов, т.е. если это udp на порт 53 например, то packet_content_mask излишен и можно без него, а вот если у вас идея типа "запретить все пакеты с 16ым байтом 0F" - тогда только через контент-маск. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mikler Опубликовано 6 июня, 2014 · Жалоба 1. На все порты навешать ACL source_mac 2. Это можно сделать как обычным ACL, так и через packet_content_mask (если байтов хватит). Зависит от типа пакетов, т.е. если это udp на порт 53 например, то packet_content_mask излишен и можно без него, а вот если у вас идея типа "запретить все пакеты с 16ым байтом 0F" - тогда только через контент-маск. 1. Грубо говоря мне надо пропустить только 6 MAC через uplink = повешать permit на все порты? 2. Там все просто нужно для любого мака с определенных портов packet type не стандартный drop на уровне L2 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 6 июня, 2014 · Жалоба 1. Надо два типа правил по-сути: permit конкретного мака и deny всего остального. http://www.dlink.ru/ru/faq/62/206.html вот тут есть пример очень похожий на ваш, только + PPPOE еще (ethernet_type 0x8864), который вам не нужен. Но зато там очень понятно как идут правила. Профили и правила просматриваются в порядке возрастания номер, т.о. в младших профилях вы разрешаете что-либо, в старших запрещаете все. Кадр матчится по правилам только один раз, т.е. если кадр сматчился правилом далее он больше не матчится. Вот так и работает. Еще традиционно в длинке все профили и правила работают только на вход. Т.е. вам придется эти правила вешать на порты пользователей, а UPLINK оставить чистым. 2. Вы имеете ввиду ethernet_type? Ну тогда ethernet правило вам поможет и в этом случае. Даже прошлый пример вполне подойдет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mikler Опубликовано 6 июня, 2014 · Жалоба 1. Надо два типа правил по-сути: permit конкретного мака и deny всего остального. http://www.dlink.ru/ru/faq/62/206.html вот тут есть пример очень похожий на ваш, только + PPPOE еще (ethernet_type 0x8864), который вам не нужен. Но зато там очень понятно как идут правила. Профили и правила просматриваются в порядке возрастания номер, т.о. в младших профилях вы разрешаете что-либо, в старших запрещаете все. Кадр матчится по правилам только один раз, т.е. если кадр сматчился правилом далее он больше не матчится. Вот так и работает. Еще традиционно в длинке все профили и правила работают только на вход. Т.е. вам придется эти правила вешать на порты пользователей, а UPLINK оставить чистым. 2. Вы имеете ввиду ethernet_type? Ну тогда ethernet правило вам поможет и в этом случае. Даже прошлый пример вполне подойдет. Спасибо за разъяснение. a. мне надо выделить в отдельную группу uplink и порт3. b. сделать порт на котором снимается тег порт4 с. порт3 и порт4 соединить пачкордом d. drop все пакеты не MAC из списка на порт3. Я парвильно понял идею? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 6 июня, 2014 · Жалоба А зачем hairpin? Для чего соединять патчкордом 3 и 4 порты? Вам нужно сменить тег в кадре? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mikler Опубликовано 7 июня, 2014 · Жалоба А зачем hairpin? Для чего соединять патчкордом 3 и 4 порты? Вам нужно сменить тег в кадре? Мне нужно не пропустить в uplink только пакеты с определенными MAC. Собственно и вопрос как это сделать изящно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 7 июня, 2014 · Жалоба Мне нужно не пропустить в uplink только пакеты с определенными MAC. Собственно и вопрос как это сделать изящно. Вы в начале писали "пропустить некоторые маки", теперь уже "не пропустить маки". Ну в случае "не пропустить" все же еще проще. Ну создайте на них ACL source_mac но с действием deny. И тогда второго профиля с запретом всего остального даже не надо. Совершенно не понимаю зачем делать петлю, учитывая что это может привести к нехорошим последствиям. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mikler Опубликовано 7 июня, 2014 · Жалоба Мне нужно не пропустить в uplink только пакеты с определенными MAC. Собственно и вопрос как это сделать изящно. Вы в начале писали "пропустить некоторые маки", теперь уже "не пропустить маки". Ну в случае "не пропустить" все же еще проще. Ну создайте на них ACL source_mac но с действием deny. И тогда второго профиля с запретом всего остального даже не надо. Совершенно не понимаю зачем делать петлю, учитывая что это может привести к нехорошим последствиям. С утра ошибся. необходим доступ до uplink только с конкретными mac. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 7 июня, 2014 · Жалоба Я не вижу причин использовать патчкорд. Используйте ACL с разрешением и ACL с запретом на нужных портах, эффект будет такой как вы хотите (если я все правильно понял). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mikler Опубликовано 7 июня, 2014 · Жалоба | ------------------- |UP| P1| P2| P3 | -------------------- Сети P1, P2, P3 должны видеть друг друга. Только с выбранными MAC компьютеры должны иметь доступ до up. Компьютеры которые могут иметь доступ до UP находятся во всех подсетях. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 7 июня, 2014 · Жалоба Так речь о сетях или о маках или портах? Лично я так и не понял задачу классификатор вида src_mac=X and dst_port=Y задать нельзя, я вообще такого ни на одном свитче не видел, но если отталкиваться от изначальной задачи, от решение скорее всего найдётся (вланы, mac-vlan'ы, traffic_segmentation, acl). ну и вообще, каждый длинк это коммутатор со своими "нюансами", всегда нужно писать точную модель и hw revision Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mikler Опубликовано 7 июня, 2014 · Жалоба 3120-24TC; HW:B1; Firmware Version:Build 3.00.522; Firmware Type:RI Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 7 июня, 2014 · Жалоба А теперь нормально описать изначальную задачу, а не Ваш взгляд на её решение Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mikler Опубликовано 7 июня, 2014 · Жалоба Есть несколько сетей с тестовым оборудованием и прочим. Имеется свич указанной модели. Необходимо запретить ходить в uplink всем компьютерам кроме выбранных из подсетей. IP динамически выдается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 7 июня, 2014 · Жалоба А между собой в этих подсетях/портах они должны с любыми маками работать или как? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 7 июня, 2014 · Жалоба вообще странный подход у топикстартера. раз уж мак-адреса известны, можно сделать статик-запись ip-mac на dhcp-сервере, после чего фильровать по ip.src&&ip.dst(всё-таки наверное известно какие сети живут за аплинком или какие там не живут). и ещё не понятно, "сети" живут в разных вланах или это всё в одном влане, они вообще маршрутизируются кем-нибудь? задача конечно интересная и хочется помочь вам её решить, но вытягивать инфу по крупицам особо нет желания Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mikler Опубликовано 7 июня, 2014 · Жалоба Я ума не приложу как вам лучше сформулировать задачу. Там не столько IP ходит. :-))) Это тестовые сетки, там черте что твориться :-) . Хочу чтобы черте что не просачивалось наружу. Реально отфильтровать только по MAC. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 7 июня, 2014 · Жалоба ну я уже ответил, что по срц-мак+дст-порт фильтровать нельзя. загоняйте "черти-что" в отдельные порты и отдельные вланы и не добавляйте их на аплинк Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 7 июня, 2014 · Жалоба Выделайте тех, кого нужно куда-то пустить в отдельную IP сетку (вланом желательно), остальных фильтруйте. http://dlink.ru/ru/faq/62/204.html Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 7 июня, 2014 · Жалоба у него трафик не ip, так что похоже из инструментов только вланы, сегментация и л2 ацл Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mikler Опубликовано 9 июня, 2014 · Жалоба И собственно какой вариант для меня будет оптимальным? Хотя бы приблизительный алгоритм.Спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mikler Опубликовано 16 июня, 2014 · Жалоба Понимаю, что не стандартно все. Хотя бы идем куда копать. Не делать же свою прошивку для свича. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
elyor Опубликовано 16 июня, 2014 · Жалоба что у вас на аплинке? если тоже что-то управляемое/контролируемое, не легче ли там это вырезать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 16 июня, 2014 · Жалоба Mikler у вас странная задача, для того чтобы её решить именно так как вы хотите нужен свитч с l2 egress acl. насколько я помню 3120 такое не умеет. либо покупайте свитч который это умеет, либо переставайте хотеть странного и делайте это традиционно - вланы, порт-изоляции, ингресс ацл чтоб подропать мусор вот так сходу свитч с egress acl - huawei s5300, из более дешевых надо смотреть Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...