до появления ревизии C1 строили сеть на ревизиях A1, B1. использовали следующие ацл:

всё работало прекрасно, пока к нам не пришла ревизия C1, а именно коммутаторы модели DES-3200-52
немного модифицированные ацл перестали работать:

коммутаторы перестали пропускать ethernet type 8863,8864,806, которые описаны в ацл профайле 2. (PPPoE и ARP)
однако, если совместить профайлы 2 и 3 в один, то всё начинает работать:

Собственно вопрос: это баг или фича?
P.S. отдельно фильтрация по ethernet type работает, если ставить действие deny, но permit такое ощущение что просто не работает

В ревизии С1 поменяли логику работы acl, почитайте презентацию
Осенью поправят ситуацию с наивысшим приоритетом deny, будет отрабатывать в порядке access_id

опять всё переделали
ладно. разобрался, спасибо

Пожалуйста.

вопрос ещё один:

в этих строках теперь получается вообще смысла нет если после них режатся броадкасты?
тоесть разрешить прохождение dhcp броадкастов не разрешая вообще всех ip броадкастов нельзя получается?

founder
Рекомендую немного подождать - логику работы запрещающих правил поправят в середине сентября, они будут отрабатывать в порядке access_id

Поведение ACL изменено в FW 4.32
Описание обновленного CLI

1. Имя профиля теперь опционально.
2. Зарезервировано под системные нужды по 62 правил у профилей ID 1 Ethernet и ID 2 IP.
3. Для третьего и четвёртого профилей можно задать ID с 1 по 512, но общее кол-во профилей осталось 4-е.
4. Действие drop теперь не приоритетно. Приоритет теперь работает по ID профиля и ID правила, как на старых наших моделях.

Хм... FW 4.32
Что то я не понял про 1ый и 2ой профайлы.
Почти все своё упихал в 3 и 4 ый, необходи ещё один ethernet.
Судя по "Use “create access_profile” to create the profile first if you would like to put the rules on Profile ID 1 or Profile ID 2."
Использовать 1ый можно, ок.

К примеру тест:
Пытаюсь в "Profile ID 1 is fixed as Ethernet Profile" засунуть вот это:

create access_profile profile_id 1 profile_name 1 ethernet vlan 0xFFF source_mac FF-FF-FF-FF-FF-FF destination_mac FF-FF-FF-FF-FF-FF ethernet_type
config access_profile profile_id 1 add access_id 1 ethernet vlan_id 100 ethernet_type 0x806 port 6 permit

и в profile_id 4 его же режу

create access_profile profile_id 4 profile_name 4 ethernet vlan 0xFFF source_mac FF-FF-FF-FF-FF-FF destination_mac FF-FF-FF-FF-FF-FF ethernet_type
config access_profile profile_id 4 add access_id 1 ethernet vlan_id 100 ethernet_type 0x806 port 6 deny

АРП блокируется 4ым профалом - ничего не работает.

Ок, делаем
Вот так:

create access_profile profile_id 3 profile_name 3 ethernet vlan 0xFFF source_mac FF-FF-FF-FF-FF-FF destination_mac FF-FF-FF-FF-FF-FF ethernet_type
config access_profile profile_id 3 add access_id 1 ethernet vlan_id 100 ethernet_type 0x806 port 6 permit
create access_profile profile_id 4 profile_name 4 ethernet vlan 0xFFF source_mac FF-FF-FF-FF-FF-FF destination_mac FF-FF-FF-FF-FF-FF ethernet_type
config access_profile profile_id 4 add access_id 1 ethernet vlan_id 100 ethernet_type 0x806 port 6 deny

Все работает. Как быть?

Я уточню в ШК, с чем связано данное поведение.

Есть ли какая нибудь информация?

Пока что нет.

Напоминаю. Хотелось бы решение... Очень ждем.
Убрали бы пока предустановленные профайлы чтоли...

Кстати непонятно, зачем, если есть предустановленные, использовать отдельные профайлы например для дхцп скрининга?
Есть ли какая нибудь информация о том что их использует/будет использовать?

Данное поведение связано с некоторыми ограничениями, накладываемыми системными правилами в 1 и 2 профайлах.
Описание ограничений я уже запросил, выложу как только появится подробная информация.
Предлагаю далее вести обсуждение здесь: viewtopic.php?f=2&t=155963