Добрый день, Коллеги!
Прошу помочь в решении вопроса.
DGS-3420-28TC
Firmware: Build 3.01.R003
VLAN 1 default ip 10.90.90.90/8
VLAN 3 VLAN3 ip 192.168.1.1/24
VLAN 7 mngm ip 172.17.123.1/24
# ACL
#Создаем универсальное правило фильтрации по tcp, с учетом нужных адресов, портов и флагов.
create access_profile profile_id 2 profile_name tcp_filter ip vlan source_ip_mask 255.255.255.0 destination_ip_mask 255.255.255.0 tcp src_port_mask 0xFFFF dst_port_mask 0xFFFF flag_mask urg ack psh rst syn fin
# Запрещаем доступ с vlan 3 по портам 135,137,139,445
config access_profile profile_id 2 add access_id 1 ip vlan_id 1 port 1-26 permit
config access_profile profile_id 2 add access_id 2 ip vlan_id 7 port 1-28 permit #если убрать то работает односторонный доступ по шаре
#config access_profile profile_id 2 add access_id 3 ip vlan_id 3 port 1-28 permit
config access_profile profile_id 2 add access_id 4 ip vlan_id 7 tcp dst_port 135 port 1-26 permit
config access_profile profile_id 2 add access_id 5 ip vlan_id 7 tcp dst_port 137 port 1-26 permit
config access_profile profile_id 2 add access_id 6 ip vlan_id 7 tcp dst_port 445 port 1-26 permit
config access_profile profile_id 2 add access_id 8 ip vlan_id 3 tcp dst_port 445 port 1-26 permit
config access_profile profile_id 2 add access_id 9 ip vlan_id 7 tcp dst_port 135 port 1-26 permit
config access_profile profile_id 2 add access_id 10 ip vlan_id 7 tcp dst_port 137 port 1-26 permit
#Разрешаем ICMP с Managment сети везде
create access_profile profile_id 4 profile_name icmp ip source_ip_mask 0.0.0.0 destination_ip_mask 0.0.0.0 icmp type
config access_profile profile_id 4 add access_id 1 ip source_ip 172.17.123.1 mask 255.255.255.0 icmp port 1-26 permit
config access_profile profile_id 4 add access_id auto_assign ip source_ip 0.0.0.0 icmp type 0 port 1-24 permit
config access_profile profile_id 4 add access_id auto_assign ip source_ip 0.0.0.0 icmp type 0 port 1-24 permit
#Запрещаем все что не разрешено выше
create access_profile profile_id 6 profile_name drop ethernet source_mac 00-00-00-00-00-00
config access_profile profile_id 6 add access_id auto_assign ethernet source_mac 00-00-00-00-00-00 port 1-28 deny
Задача сегментирование сети и разрешение доступа между VLAN по определенным портам, из VLAN 7 доступ должен быть везде. Планирую что не разрешено то запрещено.
АСL конфиг выше, на данный момент не работает доступ по шаре из VLAN 7 в VLAN 3, точнее дотсуп есть VLAN 3 в VLAN 7.
правильно ли я понимаю логику работы профиля 2, сам профиль описывает доступы из 24 сетей с возможностью создания правил, внутри профиля, используя номера VLAN, направления откуда и куда?
create access_profile profile_id 2 profile_name tcp_filter ip vlan source_ip_mask 255.255.255.0 destination_ip_mask 255.255.255.0 tcp src_port_mask 0xFFFF dst_port_mask 0xFFFF flag_mask urg ack psh rst syn fin
Этим правилом я разрешаю доступ по всем TCP портам VLAN 1, на физических портах с 1-26?
config access_profile profile_id 2 add access_id 1 ip vlan_id 1 port 1-26 permit
Тк как максимально создание профилей ограничено 6, можно ли как нибудь в одном профили создавать правила для сетей /25 / 26 / 28 / 29?