Главная F.A.Q.КоммутаторыУправляемые коммутаторы
Вопрос: ACL для блокирования PADO пакетов на коммутаторах доступа, на примере DES-3200 C1.
Ответ: 
Пример 1.
 
Создаём профиль ACL:
 
create access_profile profile_id 1 profile_name PPPoE_block ethernet source_mac FF-FF-FF-FF-FF-FF destination_mac FF-FF-FF-FF-FF-FF ethernet_type
 
Разрешаем PPPoE пакеты от сервера клиентам:
 
config access_profile profile_id 1 add access_id 1 ethernet source_mac 00-13-5F-AA-BB-CC ethernet_type 0x8864 port 26 permit 
config access_profile profile_id 1 add access_id 2 ethernet source_mac 00-13-5F-AA-BB-CC ethernet_type 0x8863 port 26 permit 
 - где 00-13-5F-AA-BB-CC – МАК адрес PPPoE сервера
 
Разрешаем широковещательные PPPoE PADI пакеты от клиентов:
 
config access_profile profile_id 1 add access_id 3 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x8863 port 1-25 permit 
 
Разрешаем PPPoE пакеты от клиентов к серверу:
config access_profile profile_id 1 add access_id 4 ethernet destination_mac 00-13-5F-AA-BB-CC ethernet_type 0x8863 port 1-25 permit 
config access_profile profile_id 1 add access_id 5 ethernet destination_mac 00-13-5F-AA-BB-CC ethernet_type 0x8864 port 1-25 permit 
 
Запрещаем все остальные PPPoE пакеты:
config access_profile profile_id 1 add access_id 6 ethernet ethernet_type 0x8863 port 1-26 deny 
config access_profile profile_id 1 add access_id 7 ethernet ethernet_type 0x8864 port 1-26 deny 
 
Пример 2. 
 
Создаем ACL, который запретит PPPoE PADO пакеты с клиентских портов (блокируем поддельные PPPoE сервера).
 
create access_profile profile_id 3 profile_name PADO_PPPOE_lock packet_content_mask offset_chunk_1 3 0xFFFF offset_chunk_2 4 0xFF0000 
config access_profile profile_id 3 add access_id 1 packet_content offset_chunk_1 0x8863 offset_chunk_2 0x70000 port 2-10 deny
 
Создаем acl, который запретит прохождение не PPPoE пакетов в USER vlan'е (блокируем DHCP, IP, ARP и все остальные ненужные протоколы, которые позволят пользователям общаться напрямую между собой, игнорируя PPPoE сервер).
 
create access_profile profile_id 4 profile_name not_PPPOE_pck_lock ethernet vlan 0xFFF ethernet_type 
config access_profile profile_id 4 add access_id 1 ethernet vlan_id 11 ethernet_type 0x8863 port 2-10 permit 
config access_profile profile_id 4 add access_id 2 ethernet vlan_id 11 ethernet_type 0x8864 port 2-10 permit 
config access_profile profile_id 4 add access_id 3 ethernet vlan_id 11 port 2-10 deny