MES2124: %QOS_CLI-I-TOOMUCHOFFSETS чем грозит?

[d771]

Имеем MES2124 с версией ПО 1.1.48.14
Задача сделать фильтр ACL на порту, который бы фильтровал одновременно IP и не-IP трафик.
Пример такого фильтра:

Код: Выделить всё

mac access-list extended clientfilt
 offset-list DHCPS ethtype 0 00 08 ethtype 1 00 00 l2 9 00 11 l2 20 00 00 l2 21 00 43
 offset-list PADO ethtype 0 00 88 ethtype 1 00 63 l2 3 00 07
 deny any any offset-list PADO
 deny any any offset-list DHCPS
exit


При конфигурации вылезает ошибка:

%QOS_CLI-I-TOOMUCHOFFSETS: Attention! Too much unique offsets configured in rules. Maximum is 5.

Как ее понять? Эта ошибка применима для правил QOS, и если используется фильтрация по этому ACL, ее можно игнорировать?

Также есть такое правило:

Код: Выделить всё

offset-list GWIP ethtype 0 00 08 ethtype 1 00 00 l2 12 00 c0 l2 13 00 a8 l2 14 00 01 l2 15 00 01


Тут мы запрещаем исходящий IP трафик с 192.168.1.1 в рамках mac acl. Имеем ошибку:

Too mush offsets in list.

Есть ли какой-то обходной путь, чтобы можно было повесить основременно mac и ip acl на один порт?

Пытаюсь применить ACL с болеемем двумя offset-list, и возникает ошибка:

MES2124(config-if)#service-acl input clientfilt
Cannot apply because lack of HW resources.

[junkie_raccoon]

Здравствуйте

> Как ее понять? Эта ошибка применима для правил QOS, и если используется фильтрация по этому ACL, ее можно игнорировать?
Данную ошибку игнорировать нельзя, это аппаратное ограничение. Максимум 5 офсетов в правиле

Прошу уточнить, что Вы хотите фильтровать? Любые PADO и DHCP Offer? Если так, то можно настроить DHCP Snooping и PPPoE Intermediate Agent. При котором пакеты DHCP Discover и PPPoE PADI будут уходить только на доверенный порт, DHCP Offer и PPPoE PADO будут фильтроваться на недоверенных портах

[d771]

Здравствуйте
Прошу уточнить, что Вы хотите фильтровать? Любые PADO и DHCP Offer?

Это упрощеный вариант правил только для воссоздания ошибки.
Более полный желаемый список правил включает в себя:

Код: Выделить всё

mac access-list extended clientfilt
 offset-list PADO ethtype 0 00 88 ethtype 1 00 63 l2 3 00 07
 offset-list DHCPS ethtype 0 00 08 ethtype 1 00 00 l2 9 00 11 l2 20 00 00 l2 21 00 43
 offset-list GWIP ethtype 0 00 08 ethtype 1 00 00 l2 12 00 c0 l2 13 00 a8 l2 14 00 01 l2 15 00 01
 deny 00:00:00:00:00:00 00:00:00:00:00:00 any
 deny ff:ff:ff:ff:ff:ff 00:00:00:00:00:00 any
 deny any 52:54:4c:00:00:00 00:00:00:ff:ff:ff
 deny any any offset-list PADO
 deny any any offset-list DHCPS
 deny any any offset-list GWIP
 permit any any 800 0000
 permit any any 806 0000
 permit any any 8863 0000
 permit any any 8864 0000
 deny any any
exit


Т.е:
Запрет недействительных mac адресов.
Запрет pado.
Запрет dhcp offer.
Запрет от клиента трафика с адресом шлюза (на который уже точно ресурсов не хватает в такой схеме)
Разрешение трафика ip, arp, pppoe.
Запрет всего остального трафика.

Если так, то можно настроить DHCP Snooping и PPPoE Intermediate Agent. При котором пакеты DHCP Discover и PPPoE PADI будут уходить только на доверенный порт, DHCP Offer и PPPoE PADO будут фильтроваться на недоверенных портах

Тогда трафик dhcp и pppoe будет попадать на cpu и в случае нештатной ситуации будет угрожать стабильности работы коммутатора, разве не так?

В mes2428 можно добавить одновременно mac и ip acl на один и тот же порт, что уже решает проблему. Может возможно каким-то путем сделать это и на этом коммутаторе?

[junkie_raccoon]

Здравствуйте!

Для уменьшения колличества офсетов можно воспользоватся двумя ACL:

ACL блокирует DHCP Offer и трафик с адресом шлюза, где 1.1.1.1 - это адрес шлюза

Код: Выделить всё

ip access-list extended DHCP_GWIP
 deny ip any any 1.1.1.1 0.0.0.0 any
 deny udp any bootps any bootpc
exit

Код: Выделить всё

mac access-list extended clientfilt
 offset-list PADO ethtype 0 00 88 ethtype 1 00 63 l2 3 00 07
 deny 00:00:00:00:00:00 00:00:00:00:00:00 any
 deny ff:ff:ff:ff:ff:ff 00:00:00:00:00:00 any
 deny any 52:54:4c:00:00:00 00:00:00:ff:ff:ff
 deny any any offset-list PADO
 permit any any 800 0000
 permit any any 806 0000
 permit any any 8863 0000
 permit any any 8864 0000
exit

Затем применить их на вход порта

Код: Выделить всё

interface gigabitethernet 1/0/20
 service-acl input clientfilt DHCP_GWIP
exit

После применения ACL на порт будет проверка сначала по IP acl, затем проверка будет по MAC acl, если пакет не попадает ни под одно из правил, сработает deny any any. По этой причине я его явно не указал

Прошу уточнить, для чего в офсете PADO значение l2 3 00 07? За что именно оно отвечает

[d771]

Здравствуйте!
Прошу уточнить, для чего в офсете PADO значение l2 3 00 07? За что именно оно отвечает

Это второй байт в пакете после ethertype, вот формат пакета: https://support.huawei.com/enterprise/r ... ket-format
т.е. code = 0x07
Отвечает собственно, за пакет PADO.
Ethertype 8863 может нести в себе не только PADO, так что фильтр должен быть по содержимому. Этот фильтр позволяет порту быть клиентом pppoe, но не быть сервером, т.к. offer будет заблокирован.

Т.е. мне нужно фильтровать пакет с содержимым 88 63 XX 07 - правильно ли я сделал фильтр?

[d771]

В итоге что-то не так с документацией:
стр.110: https://eltex-co.ru/upload/iblock/870/m ... 2.14.1.pdf
Нашел тут правило для PADO:

offset-list PADO l2 12 00 88 l2 13 00 63 l2 15 00 07

Оно работает как надо.

в документации к коммутатору же:
стр.244: https://eltex-co.ru/upload/iblock/062/M ... .48.14.pdf

L2 —начало смещения от Ethertype
mask—маска. В анализе пакета принимают участие только те разряды байта, для которых в соответствующихразрядах маски задана ‘1’;

По документации я и составлял (соответственно, смещение было другое), оно не работает. Поправьте документацию, пожалуйста. Там должно быть "от начала пакета", а не от ethertype и вместо маски "1" надо "0".

[junkie_raccoon]

Добрый день

Код: Выделить всё

По документации я и составлял (соответственно, смещение было другое), оно не работает. Поправьте документацию, пожалуйста. Там должно быть "от начала пакета", а не от ethertype и вместо маски "1" надо "0".

Благодарю за предоставленную информацию, исправим в ближайшей версии документации