Имею 3326С прошивка 36.
Начал делать профили. Все разрешающие прошли.
А вот конечный завершающий делать не хочет ни через веб ни скриптом, ни в телнете

create access_profile ip source_ip_mask 0.0.0.0 profile_id 110 deny
config access_profile profile_id 110 add access_id 111 ip source_ip 0.0.0.0

Где ошибка? Прошу помощи

А так по идее и не должно работать, с пустыми масками то

если речь идёт об одном vlan'e, я бы вот так сделал

кстати, не знаю как на 3326s, а на 3226s был баг - свитч позволял создать через веб интерфейс вот такой профиль
и даже сохранял его и даже как-то работал, но консольными командами это не воссоздавалось. Кстати да, завтра проверю и в багрепорт оформлю

Спасибо. Но вот в теме VLAN на базе D-link DES-3326S писал Павел Козик именно так как я привел с пустыми масками. Я пробовал делать и один в один, но все равно не шло.
Буду ждать что скажет он или его коллеги.

Смахивает на какой-то workaround.
Ибо если задуматься, то какой смысл в нулевой маске?

Согласен но так было записано в теме. Я так понял запретить любые другие маски и любые адреса.

Тогда как поставить в конце общий запрещающий профиль?

Ошибка нашлась. Вылез за 10 профилей. Странно что в мануале не находили такого. Косвенно узнал.
Теперь другое мучает. Сетей много, маски у них разные. Как их теперь разрулить, а то все друг друга видят.

А как вообще разрешающие профили выглядят? Короче, кусок конфига - в студию

Да обычный профиль, как в книжке. У него просто по определению в конце стоит permit. И далее к нему правила

create access_profile ip source_ip_mask 255.255.255.255 destination_ip_mask 255.255.255.255 profile_id 10 permit

config access_profile profile_id 10 add access_id 11 ip source_ip 192.168.2.2 destination_ip 192.168.2.1

config access_profile profile_id 10 add access_id 12 ip source_ip 192.168.2.1 destination_ip 192.168.2.2

config access_profile profile_id 10 add access_id 13 ip source_ip 192.168.2.3 destination_ip 192.168.2.1

config access_profile profile_id 10 add access_id 14 ip source_ip 192.168.2.1 destination_ip 192.168.2.3

Так а откуда десяти профилям взяться? Неужели есть потребность прям каждый пакетик описывать - может как-то агрегировать можно, более обсчо

Например взять 7 подсетей с разными масками, с разными правилами доступа друг к другу.А на каждую связь нужно как минимум два профиля. Все же межсетевым экраном не заткнешь.
Да понимаю можно сесть пооптимизировать там например по доступу к ресурсам и т.д., но это поможет временно. Количество подсетей увеличивается и все это чужие друг другу конторы.

Просто информация об этих ограничениях не всегда есть в мануалах.
Но я не в обиде, аппрат свои деньги отрабатывает. Это уровень доступа. И ждать тут чудес не приходится.
Поэтому видимо прийдется покупать маршрутизатор из ряда Длинка.
На будущее )

попробуйте использовать Traffic Segmentation - и проще и удобнее, прадва. не всегда подходит на замену VLAN

_________________
С уважением, Карагезов Владислав

Спасибо. Но это с 3-м уровнем не работает. Пробовал и в службе поддержке сказали, что при использовании 3-го уровня спасает только исп. профилей.

А может тут просто третий уровень большей частью не нужен?