MES2124 и примеры ACL

[d771]

Здравствуйте!
Нигде не могу найти примеров acl по содержанию пакета. Мануал прочитал, но корректно составить не могу.

В d-link, например, acl выглядит так (маска в dlink инверсная, т.е. 00 в маске означает любые биты, а не FF, как у eltex):

Код: Выделить всё

# deny answer to pppoe discovery
create access_profile packet_content_mask offset_16-31 0xFFFF00FF 0x0 0x0 0x0 profile_id 32
config access_profile profile_id 32 add access_id 1 packet_content_mask offset_16-31 0x88630007 0x0 0x0 0x0 port 1-24 deny


Можете перевести это правило в синтаксис eltex?

[Евгений Т]

Добрый день.

Если старший байт в outer-tag = 150, то запретить. Остальное разрешить
mac access-list extended tst-pcf
offset-list test-offset outer-tag 0 00 96
deny any any offset-list test-offset
permit any any
exit

Этот ACL пропускет все vlan кроме q-in-q vlan 2275 с внутренним тэгом 32

mac access-list extended no_voice
offset-list name1 outer-tag 0 00 08 outer-tag 1 00 e3 inner-tag 1 00 20
deny any any offset-list name1
permit any any
exit

[d771]

Не получается воссоздать тот acl, который я написал выше:

Помощь говорит, что:

Код: Выделить всё

#offset-list discovery-answer l2
  <0-127>              Specify the offset value relative to given offset
                       type. Valid offsets: src-mac(0..5), dst-mac(0..5),
                       l2(0..1), outer-tag(0..1), inner-tag(0..1).


У меня пакет должен попадать в правило, если у него ethertype 8863 (это offset 0 и 1 от l2), и если содержимое пакета (offset 3 от l2) = 07. Но смещения 2 и 3 свич не принимает, хотя в помощи стоит диапазон 0-127.

Код: Выделить всё

#offset-list list1 l2 0 00 88 l2 1 00 63 l2 2 ff 00 l2 3 00 07
% bad parameter value


Каким образом я могу настроить ACL по содержимому пакета, как в dlink?

[Evgen_94]

Не получается воссоздать тот acl, который я написал выше:

Помощь говорит, что:

Код: Выделить всё
#offset-list discovery-answer l2
<0-127> Specify the offset value relative to given offset
type. Valid offsets: src-mac(0..5), dst-mac(0..5),
l2(0..1), outer-tag(0..1), inner-tag(0..1).


У меня пакет должен попадать в правило, если у него ethertype 8863 (это offset 0 и 1 от l2), и если содержимое пакета (offset 3 от l2) = 07. Но смещения 2 и 3 свич не принимает, хотя в помощи стоит диапазон 0-127.

#offset-list list1 l2 0 00 88 l2 1 00 63 l2 2 ff 00 l2 3 00 07
% bad parameter value

Каким образом я могу настроить ACL по содержимому пакета, как в dlink?

Добрый день.
Уберите строчку l2 2 ff 00. Wildcard маску можно указать только в пределах от 0 до fe.

[Sergey_]

У меня пакет должен попадать в правило, если у него ethertype 8863 (это offset 0 и 1 от l2), и если содержимое пакета (offset 3 от l2) = 07. Но смещения 2 и 3 свич не принимает, хотя в помощи стоит диапазон 0-127.

Пакет, который попадает под правило, тегированный или нет?
Есть возможность вложить файл с расширением .pcap самого пакета?

Пример настройки для пакета с ethertype 8863 со смещением 3 для значения 07 (в l2-offset):
mac access-list extended lis1
offset-list offset1 ethtype 0 00 88 ethtype 1 00 63 l2 3 00 07
permit any any offset-list offset1
deny any any
exit
!
interface gigabitethernet 1/0/1
service-acl input lis1

[d771]

Уберите строчку l2 2 ff 00. Wildcard маску можно указать только в пределах от 0 до fe.

не особо помогло, теперь пишет

Код: Выделить всё

Offset type l2 has a value of 3 bytes that is out of range [0..1].


Получается, я не могу поставить условие на содержимое пакета, а только на ethertype?

Пример настройки для пакета с ethertype 8863 со смещением 3 для значения 07 (в l2-offset):

Вот прямо копипастой из вашего сообщения делаю, и пишет ошибку:

Код: Выделить всё

#offset-list offset1 ethtype 0 00 88 ethtype 1 00 63 l2 3 00 07
% bad parameter value


[d771]

Пакет, который попадает под правило, тегированный или нет?
Есть возможность вложить файл с расширением .pcap самого пакета?

Может быть и тегированым, и нет. Правило должно срабатывать безотносительно номера vlan.
Да что там смотреть в pcap-то? Просто PADO заблокировать (средствами ACL, а не pppoe IA), и все!
http://wiki.treck.com/images/c/c8/PPPoE ... values.gif

[Evgen_94]

Добрый день.

Может быть и тегированым, и нет. Правило должно срабатывать безотносительно номера vlan.

Попробуйте прописать команду без l2:

Код: Выделить всё

offset-list offset1 ethtype 0 00 88 ethtype 1 00 63

.
Настройка будет отличаться в зависимости от того, тегированный пакет или не тегированный.

Да что там смотреть в pcap-то? Просто PADO заблокировать (средствами ACL, а не pppoe IA), и все!

Для проверки работы корректности работы правил acl в СЦ. Просьба к вам всё таки прислать дамп с wireshark.
Какая версия ПО коммутатора ?

[d771]

Добрый день.
Какая версия ПО коммутатора ?

Да, все дело было в версии ПО, на 1.1.44 такое не работало, на 1.1.46 уже работает.

Но возник другой момент с acl на последней прошивке: не дает указать номер правила при указании ethertype (на offset-list index принимает)

Код: Выделить всё

(config-mac-al)#permit any any 0800 0000
  index                Specify the condition index.
   <CR>
(config-mac-al)#permit any any 0800 0000 index 50
% Wrong number of parameters or invalid range, size or characters entered
(config-mac-al)#permit any any 0800 0000 index
  <1-2147483647>       Specify the condition index.
(config-mac-al)#permit any any 0800 0000


[Evgen_94]

Но возник другой момент с acl на последней прошивке: не дает указать номер правила при указании ethertype (на offset-list index принимает)

Это баг, должно задаваться правило. Заведена задача. Напишите пожалуйста в лс ваши контактные данные и название организации.