[Mikler]

Доброе время суток.

 

Есть пару задач которые надо решить с помощью этого коммутатора и которые не совсем хотят решаться в моем понимании.

1. Ограничить доступ всем кроме выбранных MAC до UPLINK.

2. Вырезать пакеты определенного типа с пары портов.

Видимо я что то в ACL не понимаю от D-Link. Посоветуйте как лучше все это организовать и где почитать.

Заранее спасибо.

[DVM-Avgoor]

1. На все порты навешать ACL source_mac

2. Это можно сделать как обычным ACL, так и через packet_content_mask (если байтов хватит). Зависит от типа пакетов, т.е. если это udp на порт 53 например, то packet_content_mask излишен и можно без него, а вот если у вас идея типа "запретить все пакеты с 16ым байтом 0F" - тогда только через контент-маск.

[Mikler]

1. На все порты навешать ACL source_mac

2. Это можно сделать как обычным ACL, так и через packet_content_mask (если байтов хватит). Зависит от типа пакетов, т.е. если это udp на порт 53 например, то packet_content_mask излишен и можно без него, а вот если у вас идея типа "запретить все пакеты с 16ым байтом 0F" - тогда только через контент-маск.

1. Грубо говоря мне надо пропустить только 6 MAC через uplink = повешать permit на все порты?

2. Там все просто нужно для любого мака с определенных портов packet type не стандартный drop на уровне L2

[DVM-Avgoor]

1. Надо два типа правил по-сути: permit конкретного мака и deny всего остального. http://www.dlink.ru/ru/faq/62/206.html вот тут есть пример очень похожий на ваш, только + PPPOE еще (ethernet_type 0x8864), который вам не нужен. Но зато там очень понятно как идут правила. Профили и правила просматриваются в порядке возрастания номер, т.о. в младших профилях вы разрешаете что-либо, в старших запрещаете все. Кадр матчится по правилам только один раз, т.е. если кадр сматчился правилом далее он больше не матчится. Вот так и работает.

Еще традиционно в длинке все профили и правила работают только на вход. Т.е. вам придется эти правила вешать на порты пользователей, а UPLINK оставить чистым.

 

2. Вы имеете ввиду ethernet_type? Ну тогда ethernet правило вам поможет и в этом случае. Даже прошлый пример вполне подойдет.

[Mikler]

1. Надо два типа правил по-сути: permit конкретного мака и deny всего остального. http://www.dlink.ru/ru/faq/62/206.html вот тут есть пример очень похожий на ваш, только + PPPOE еще (ethernet_type 0x8864), который вам не нужен. Но зато там очень понятно как идут правила. Профили и правила просматриваются в порядке возрастания номер, т.о. в младших профилях вы разрешаете что-либо, в старших запрещаете все. Кадр матчится по правилам только один раз, т.е. если кадр сматчился правилом далее он больше не матчится. Вот так и работает.

Еще традиционно в длинке все профили и правила работают только на вход. Т.е. вам придется эти правила вешать на порты пользователей, а UPLINK оставить чистым.

 

2. Вы имеете ввиду ethernet_type? Ну тогда ethernet правило вам поможет и в этом случае. Даже прошлый пример вполне подойдет.

Спасибо за разъяснение.

a. мне надо выделить в отдельную группу uplink и порт3.

b. сделать порт на котором снимается тег порт4

с. порт3 и порт4 соединить пачкордом

d. drop все пакеты не MAC из списка на порт3.

Я парвильно понял идею?

[DVM-Avgoor]

А зачем hairpin? Для чего соединять патчкордом 3 и 4 порты? Вам нужно сменить тег в кадре?

[Mikler]

А зачем hairpin? Для чего соединять патчкордом 3 и 4 порты? Вам нужно сменить тег в кадре?

Мне нужно не пропустить в uplink только пакеты с определенными MAC. Собственно и вопрос как это сделать изящно.

[DVM-Avgoor]

Мне нужно не пропустить в uplink только пакеты с определенными MAC. Собственно и вопрос как это сделать изящно.

 

Вы в начале писали "пропустить некоторые маки", теперь уже "не пропустить маки".

Ну в случае "не пропустить" все же еще проще. Ну создайте на них ACL source_mac но с действием deny.

И тогда второго профиля с запретом всего остального даже не надо. Совершенно не понимаю зачем делать петлю, учитывая что это может привести к нехорошим последствиям.

[Mikler]

Мне нужно не пропустить в uplink только пакеты с определенными MAC. Собственно и вопрос как это сделать изящно.

 

Вы в начале писали "пропустить некоторые маки", теперь уже "не пропустить маки".

Ну в случае "не пропустить" все же еще проще. Ну создайте на них ACL source_mac но с действием deny.

И тогда второго профиля с запретом всего остального даже не надо. Совершенно не понимаю зачем делать петлю, учитывая что это может привести к нехорошим последствиям.

С утра ошибся. необходим доступ до uplink только с конкретными mac.

[DVM-Avgoor]

Я не вижу причин использовать патчкорд.

Используйте ACL с разрешением и ACL с запретом на нужных портах, эффект будет такой как вы хотите (если я все правильно понял).

[Mikler]

|

-------------------

|UP| P1| P2| P3 |

--------------------

Сети P1, P2, P3 должны видеть друг друга. Только с выбранными MAC компьютеры должны иметь доступ до up. Компьютеры которые могут иметь доступ до UP находятся во всех подсетях.

[s.lobanov]

Так речь о сетях или о маках или портах? Лично я так и не понял задачу

 

классификатор вида src_mac=X and dst_port=Y задать нельзя, я вообще такого ни на одном свитче не видел, но если отталкиваться от изначальной задачи, от решение скорее всего найдётся (вланы, mac-vlan'ы, traffic_segmentation, acl). ну и вообще, каждый длинк это коммутатор со своими "нюансами", всегда нужно писать точную модель и hw revision

[Mikler]

3120-24TC; HW:B1; Firmware Version:Build 3.00.522; Firmware Type:RI

[s.lobanov]

А теперь нормально описать изначальную задачу, а не Ваш взгляд на её решение

[Mikler]

Есть несколько сетей с тестовым оборудованием и прочим. Имеется свич указанной модели. Необходимо запретить ходить в uplink всем компьютерам кроме выбранных из подсетей. IP динамически выдается.

[DVM-Avgoor]

А между собой в этих подсетях/портах они должны с любыми маками работать или как?

[s.lobanov]

вообще странный подход у топикстартера. раз уж мак-адреса известны, можно сделать статик-запись ip-mac на dhcp-сервере, после чего фильровать по ip.src&&ip.dst(всё-таки наверное известно какие сети живут за аплинком или какие там не живут). и ещё не понятно, "сети" живут в разных вланах или это всё в одном влане, они вообще

маршрутизируются кем-нибудь? задача конечно интересная и хочется помочь вам её решить, но вытягивать инфу по крупицам особо нет желания

[Mikler]

Я ума не приложу как вам лучше сформулировать задачу. Там не столько IP ходит. :-))) Это тестовые сетки, там черте что твориться :-) . Хочу чтобы черте что не просачивалось наружу. Реально отфильтровать только по MAC.

[s.lobanov]

ну я уже ответил, что по срц-мак+дст-порт фильтровать нельзя. загоняйте "черти-что" в отдельные порты и отдельные вланы и не добавляйте их на аплинк

[terrible]

Выделайте тех, кого нужно куда-то пустить в отдельную IP сетку (вланом желательно), остальных фильтруйте.

http://dlink.ru/ru/faq/62/204.html

[s.lobanov]

у него трафик не ip, так что похоже из инструментов только вланы, сегментация и л2 ацл

[Mikler]

И собственно какой вариант для меня будет оптимальным? Хотя бы приблизительный алгоритм.Спасибо.

[Mikler]

Понимаю, что не стандартно все. Хотя бы идем куда копать. Не делать же свою прошивку для свича.

[elyor]

что у вас на аплинке? если тоже что-то управляемое/контролируемое, не легче ли там это вырезать?

[s.lobanov]

Mikler

у вас странная задача, для того чтобы её решить именно так как вы хотите нужен свитч с l2 egress acl. насколько я помню 3120 такое не умеет. либо покупайте свитч который это умеет, либо переставайте хотеть странного и делайте это традиционно - вланы, порт-изоляции, ингресс ацл чтоб подропать мусор

 

вот так сходу свитч с egress acl - huawei s5300, из более дешевых надо смотреть