Question: Как заблокировать или разрешить определенный тип трафика с помощью PCF ACL
Answer:
Answer:
Задача: Заблокировать или разрешить определенный тип трафика с помощью PCF ACL.
Ниже приведены ACL для коммутаторов DES-3200 A1/B1, DES-3200 С1, DES-1210/ME/B2, синтаксис PCF ACL на данных моделях отличается.
DES-3200 С1(FW 4.37.B011 и выше):
Создаем профиль ACL.
create access_profile profile_id 20 packet_content_mask offset_chunk_1 3 0x0000FFFF offset_chunk_2 4 0xffff0000 offset_chunk_3 1 0xFFFF0000
Блокировка PADO пакетов от абонентов.
config access_profile profile_id 20 add access_id 5 packet_content offset_chunk_2 0x11070000 port 1-10 deny
Блокировка NetBios и DHCP пакетов от абонентов.
config access_profile profile_id 20 add access_id 10 packet_content offset_chunk_2 0x45000000 port 1-10 deny
Блокировка IPv6 трафика от абонентов.
config access_profile profile_id 20 add access_id 15 packet_content offset_chunk_1 0x000086DD port 1-10 deny
Блокировка IPv4 трафика от абонентов.
config access_profile profile_id 20 add access_id 20 packet_content offset_chunk_1 0x00000800 port 1-10 deny
Разрешение PADI пакетов от абонентов.
config access_profile profile_id 20 add access_id 25 packet_content offset_chunk_1 0x00008863 port 1-10 permit
Разрешение PADO пакетов от абонентов.
config access_profile profile_id 20 add access_id 30 packet_content offset_chunk_1 0x00008864 port 1-10 permit
Блокировка broadcast трафика от абонентов.
config access_profile profile_id 20 add access_id 35 packet_content offset_chunk_3 0xffff0000 port 1-10 deny
Блокировка ARP трафика от абонентов.
config access_profile profile_id 20 add access_id 40 packet_content offset_chunk_1 0x00000806 port 1-10 deny
Аналогичные правила для DES-3200 A1/B1(FW 1.84.B015 и выше):
create access_profile packet_content_mask offset1 l2 0 0xFFFF offset2 l3 0 0xFFFF profile_id 20
config access_profile profile_id 20 add access_id 5 packet_content offset2 0x1107 port 1-16 deny
config access_profile profile_id 20 add access_id 10 packet_content offset2 0x4500 port 1-16 deny
config access_profile profile_id 20 add access_id 15 packet_content offset1 0x86dd port 1-16 deny
config access_profile profile_id 20 add access_id 20 packet_content offset1 0x0800 port 1-16 deny
config access_profile profile_id 20 add access_id 25 packet_content offset1 0x8863 port 1-16 permit
config access_profile profile_id 20 add access_id 30 packet_content offset1 0x8864 port 1-16 permit
config access_profile profile_id 20 add access_id 35 packet_content offset1 0x0806 port 1-16 deny
Аналогичные правила для DES-1210/ME/B2(FW 6.07.B048 и выше):
create access_profile packet_content_mask offset1 l2 0 0xffff0000 offset2 l3 0 0xffff0000 profile_id 20
config access_profile profile_id 20 add access_id 5 packet_content offset2 0x11070000 port 1-24 deny
config access_profile profile_id 20 add access_id 10 packet_content offset2 0x45000000 port 1-24 deny
config access_profile profile_id 20 add access_id 15 packet_content offset1 0x86DD0000 port 1-24 deny
config access_profile profile_id 20 add access_id 20 packet_content offset1 0x08000000 port 1-24 deny
config access_profile profile_id 20 add access_id 25 packet_content offset1 0x88630000 port 1-24 permit
config access_profile profile_id 20 add access_id 30 packet_content offset1 0x88640000 port 1-24 permit
config access_profile profile_id 20 add access_id 35 packet_content offset1 0x08060000 port 1-24 deny