Здравствуйте, бьемся уже вторую неделю над следующей проблемой: Имеются несколько DES-1210-28 (Firmware Version 5.20.011 / Hardware Version A1)
Задача - ограничить прохождение через клиентские порты пакетов только из разрешенной подсети (192.168.0.0/20) и запретить пакеты из других подсетей (юзеры воруют маки серверов и хостов пропущенных в интернет мимо биллинга). Возможности привязать маки к конкретному порту нету, т.к. к сожалению DES-1210-28 используются как свичи агрегации а не доступа из-за финансовых ограничений организации и за ними расположденно много мыльниц.
По советам и примерам на этом форуме прописываю в командной строке следующие правила
create access_profile profile_id 2 ip protocol_id_mask 0x00 source_ip_mask 255.255.240.0 config access_profile profile_id 2 add access_id 1 ip source_ip 192.168.0.0 ports 1-24 permit (разрешаю прохождение пакетов из подсети 192.168.0.0/20)
create access_profile profile_id 50 ip protocol_id_mask 0x00 source_ip_mask 0.0.0.0 config access_profile profile_id 50 add access_id 50 ip protocol_id 0 source_ip 0.0.0.0 ports 1-24 deny (запрещаю все остальное)
В результате пользователи использующие мак-адрес например веб-сервера получают от ДХЦП ip и пользуются интернетом паралельно с сервером, частично теряются пакеты как от пользователя так и от сервера.
Мы явно что-то делаем не так. Если есть возможность подскажите в чем дело. Спасибо.
|