Элтекс

Имеем MES2124 с версией ПО 1.1.48.14
Задача сделать фильтр ACL на порту, который бы фильтровал одновременно IP и не-IP трафик.
Пример такого фильтра:

При конфигурации вылезает ошибка:

%QOS_CLI-I-TOOMUCHOFFSETS: Attention! Too much unique offsets configured in rules. Maximum is 5.

Как ее понять? Эта ошибка применима для правил QOS, и если используется фильтрация по этому ACL, ее можно игнорировать?

Также есть такое правило:

Тут мы запрещаем исходящий IP трафик с 192.168.1.1 в рамках mac acl. Имеем ошибку:

Too mush offsets in list.

Есть ли какой-то обходной путь, чтобы можно было повесить основременно mac и ip acl на один порт?

Пытаюсь применить ACL с болеемем двумя offset-list, и возникает ошибка:

MES2124(config-if)#service-acl input clientfilt
Cannot apply because lack of HW resources.

Здравствуйте

> Как ее понять? Эта ошибка применима для правил QOS, и если используется фильтрация по этому ACL, ее можно игнорировать?
Данную ошибку игнорировать нельзя, это аппаратное ограничение. Максимум 5 офсетов в правиле

Прошу уточнить, что Вы хотите фильтровать? Любые PADO и DHCP Offer? Если так, то можно настроить DHCP Snooping и PPPoE Intermediate Agent. При котором пакеты DHCP Discover и PPPoE PADI будут уходить только на доверенный порт, DHCP Offer и PPPoE PADO будут фильтроваться на недоверенных портах

junkie_raccoon писал(а):Здравствуйте
Прошу уточнить, что Вы хотите фильтровать? Любые PADO и DHCP Offer?

Это упрощеный вариант правил только для воссоздания ошибки.
Более полный желаемый список правил включает в себя:

Т.е:
Запрет недействительных mac адресов.
Запрет pado.
Запрет dhcp offer.
Запрет от клиента трафика с адресом шлюза (на который уже точно ресурсов не хватает в такой схеме)
Разрешение трафика ip, arp, pppoe.
Запрет всего остального трафика.

Если так, то можно настроить DHCP Snooping и PPPoE Intermediate Agent. При котором пакеты DHCP Discover и PPPoE PADI будут уходить только на доверенный порт, DHCP Offer и PPPoE PADO будут фильтроваться на недоверенных портах

Тогда трафик dhcp и pppoe будет попадать на cpu и в случае нештатной ситуации будет угрожать стабильности работы коммутатора, разве не так?

В mes2428 можно добавить одновременно mac и ip acl на один и тот же порт, что уже решает проблему. Может возможно каким-то путем сделать это и на этом коммутаторе?

Здравствуйте!

Для уменьшения колличества офсетов можно воспользоватся двумя ACL:

ACL блокирует DHCP Offer и трафик с адресом шлюза, где 1.1.1.1 - это адрес шлюза




Затем применить их на вход порта


После применения ACL на порт будет проверка сначала по IP acl, затем проверка будет по MAC acl, если пакет не попадает ни под одно из правил, сработает deny any any. По этой причине я его явно не указал

Прошу уточнить, для чего в офсете PADO значение l2 3 00 07? За что именно оно отвечает

junkie_raccoon писал(а):Здравствуйте!
Прошу уточнить, для чего в офсете PADO значение l2 3 00 07? За что именно оно отвечает

Это второй байт в пакете после ethertype, вот формат пакета: https://support.huawei.com/enterprise/r ... ket-format
т.е. code = 0x07
Отвечает собственно, за пакет PADO.
Ethertype 8863 может нести в себе не только PADO, так что фильтр должен быть по содержимому. Этот фильтр позволяет порту быть клиентом pppoe, но не быть сервером, т.к. offer будет заблокирован.

Т.е. мне нужно фильтровать пакет с содержимым 88 63 XX 07 - правильно ли я сделал фильтр?

В итоге что-то не так с документацией:
стр.110: https://eltex-co.ru/upload/iblock/870/m ... 2.14.1.pdf
Нашел тут правило для PADO:

offset-list PADO l2 12 00 88 l2 13 00 63 l2 15 00 07

Оно работает как надо.

в документации к коммутатору же:
стр.244: https://eltex-co.ru/upload/iblock/062/M ... .48.14.pdf

L2 —начало смещения от Ethertype
mask—маска. В анализе пакета принимают участие только те разряды байта, для которых в соответствующихразрядах маски задана ‘1’;

По документации я и составлял (соответственно, смещение было другое), оно не работает. Поправьте документацию, пожалуйста. Там должно быть "от начала пакета", а не от ethertype и вместо маски "1" надо "0".

Добрый день


Благодарю за предоставленную информацию, исправим в ближайшей версии документации