Исполюзую в DES-3226s следующие ACL:
create access_profile ip destination_ip_mask 255.255.255.255 profile_id 1
config access_profile profile_id 1 add access_id 1 ip destination_ip $ip permit


create access_profile ip tcp dst_port_mask 0xFFFF profile_id 2
config access_profile profile_id 2 add access_id 1 ip tcp dst_port 135 deny
config access_profile profile_id 2 add access_id 2 ip tcp dst_port 139 deny
config access_profile profile_id 2 add access_id 3 ip tcp dst_port 445 deny
config access_profile profile_id 2 add access_id 4 ip tcp dst_port 137 deny
config access_profile profile_id 2 add access_id 5 ip tcp dst_port 138 deny

create access_profile ip udp dst_port_mask 0xFFFF profile_id 3
config access_profile profile_id 3 add access_id 1 ip udp dst_port 135 deny
config access_profile profile_id 3 add access_id 2 ip udp dst_port 139 deny
config access_profile profile_id 3 add access_id 3 ip udp dst_port 445 deny
config access_profile profile_id 3 add access_id 4 ip udp dst_port 137 deny
config access_profile profile_id 3 add access_id 5 ip udp dst_port 138 deny

create access_profile ethernet ethernet_type profile_id 9
config access_profile profile_id 9 add access_id 1 ethernet ethernet_type 0x800 permit
config access_profile profile_id 9 add access_id 2 ethernet ethernet_type 0x806 permit

create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 10
config access_profile profile_id 10 add access_id 1 ethernet source_mac 00-00-00-00-00-00 deny"


Все работает отлично и как надо, протокол IP ходит, NetBIOS порты блокируются.

Сейчас появился в налиции DES3526, в котором в каждое ACL правило нужно добавлять список портов для которых оно работает, так вот делаю:

create access_profile ethernet ethernet_type profile_id 9
config access_profile profile_id 9 add access_id 1 ethernet ethernet_type 0x800 port 1-26 permit
config access_profile profile_id 9 add access_id 2 ethernet ethernet_type 0x806 port 1-26 permit

create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 10
config access_profile profile_id 10 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-26 deny

И перестаю видеть некоторые машины, ходящие через этот свитч, причем четко, включаю profile_id 10 -- arping пропадает, удаляю профайл -- появляется. Самое странное что так происходит не со всеми машинами, некоторые я вижу, но закономерности не определил.

Разъясните пожалуйста. Видимо еще какие-то изменения в 3526 не учел.

Паршивка: 3.05-B09

номера рулесов посмотрите

А нумерация access_id разве сквозная?

Я так понял, что профайлы проверяются по очереди, и нумерация access_id она внутри профайла. Нет?

вот что Вы делали:

а теперь по порядку

создали, хорошо...

это тож создали, еще лучше...

а теперь внимательно посмотрите на номер рулеса! если Вы указали в 1-м порты с 1 по 26, то данный рулес должен быть как минимум 27-м

Брррр.....

Т.е. ports 1-26 равносильно созданию 26-ти рулесов с вида

Так что-ли?

Именно а Вы думали откуда в 3526 взялись 800 правил, при цене свитча примерно одинаковой с маделью 3226 у кторого всего 50 ACL на свитч. Очень некрасивый маркетинговый ход.. Если в 3226 я описывал 12 портов 1 правилом то счас у меня висит 12 правил.. И ориентироватся в них просто невозможно, так как пока долистаешь через веб или телнет до нужного правила забываешь что искал. Хорошо что есть Excel.

Спасибо! Сам бы ни в жисть недопер. Еще раз спасибо.