Denis Evgraphov писал(а):
В первом правиле vlan 0x0fff, а во втором -> c_tag 0x00ff (что уже отличается).
Ну это не принципиально, т.к. vlan vid 3 по-любому попадет под указанные маски. Плюс к этому масками пробовал манипулировать, результат аналогичный
Denis Evgraphov писал(а):
Какое запрещающее правило?
Вот здесь скорее всего и причина. Далее идут вот такие запреты:
Код:
create access_profile ip destination_ip 255.255.240.0 tcp dst_port_mask 0x8000 profile_id 10
config access_profile profile_id 10 add access_id 1 ip destination_ip 10.0.192.0 tcp dst_port 0 port 1-9 deny
#
create access_profile ip destination_ip 255.255.240.0 udp dst_port_mask 0x8000 profile_id 11
config access_profile profile_id 11 add access_id 1 ip destination_ip 10.0.192.0 udp dst_port 0 port 1-9 deny
#
create access_profile ethernet ethernet_type profile_id 15
config access_profile profile_id 15 add access_id 1 ethernet ethernet_type 0x0800 port 1-9 deny
#
15-й профиль последний.
Попробовал переписать полностью весь ACL на PCF - все заработало. Есть только одно сомнение - не пропустит ли _всё_ кроме разрешенного vlan 3 на портах 1 и 4 вот такой профиль
Код:
create access_profile packet_content_mask destination_mac FF-FF-FF-FF-FF-FF c_tag 0x00ff offset1 l2 0 0x0 profile_id 6
config access_profile profile_id 6 add access_id auto_assign packet_content destination_mac FF-FF-FF-FF-FF-FF offset1 0x0 port 1-10 permit
config access_profile profile_id 6 add access_id auto_assign packet_content destination_mac 00-00-00-00-00-00 mask 00-00-00-00-00-00 c_tag 0x0003 offset1 0x0 port 1,4 permit
Создать отдельный профиль для этого просто нет возможности - не хватает offset-ов, все 11 уже задействованы и оптимизировать уже нечего..
Вход
Регистрация
FAQ
Поиск
