trv писал(а):
Благодарю за подсказку, но в этом случае будут заблокированы ВСЕ PADO, тогда как целью является блокирование только тех PADO, что могут идти с клиентских портов. Будем надеяться, что если на порту отключен Tag-Insertin, то пакеты вообще не будут попадать в CPU-ACL. Попробую - отпишусь.
Собственно продолжу свою же тему.
Попробовал - работает вот такой акль:
create cpu access_profile ethernet vlan source_mac AA-BB-CC-FF-00-00 ethernet_type profile_id 1
config cpu access_profile profile_id 1 add access_id 100 ethernet vlan AccessVLAN source_mac ff-ff-ff-ff-ff-ff ethernet_type 0x8863 port 26 permit
create cpu access_profile ethernet vlan destination_mac AA-BB-BB-BB-00-00 ethernet_type profile_id 2
config cpu access_profile profile_id 2 add access_id 100 ethernet vlan AccessVLAN destination_mac ff-ff-ff-ff-ff-ff ethernet_type 0x8863 port 1-25 permit
create cpu access_profile ethernet vlan ethernet_type profile_id 3
config cpu access_profile profile_id 3 add access_id 100 ethernet vlan AccessVLAN ethernet_type 0x8863 port 1-25 deny
enable cpu_interface_filtering
Вернее, работал. все это время. Только вот попался у меня сейчас DES-3550 , в котором у меня прописан такой вот акль, с поправкой на кол-во портов. Да вот только с него ухитряется -таки пролезать PADO со стороны клиента.
Причем такое впечатление, что фильтрация не работает совсем. Ибо даже полная блокировка ethernet_type 0x8863 - не помогает.
В коммутаторе включен safeguard_engine и вот такой фильтр:
config cpu_filter l3_control_pkt 1-48 rip ospf vrrp pim dvmrp igmp_query state enable
Могло это как-то повлиять на работу первого фильтра?
Device Type : DES-3550 Fast-Ethernet Switch
Combo Port Type : 1000Base-T + 1000Base-LX
..................
Boot PROM Version : Build 5.00.009
Firmware Version : Build 6.20.B20
Hardware Version : A4