Итого профилей хватило. Пригодится для истории.
Внимание. ПРАВИЛА работают только для 3526.
Для 3028 они неприменимы.
Итоговый результат:
1. Разрешаем весь IP в управляющем влане с высшим приоритетом
Управляющий влан = manag.
Примечание -добавлено на все порты на всякий случай
К этому профилю можно добавить правила для какого либо другого влана(например нужно прозрачно пропустить куда нибудь влан)
Код:
create access_profile ip vlan profile_id 11
config access_profile profile_id 11 add access_id 1 ip vlan manag port 1 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 2 ip vlan manag port 2 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 3 ip vlan manag port 3 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 4 ip vlan manag port 4 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 5 ip vlan manag port 5 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 6 ip vlan manag port 6 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 7 ip vlan manag port 7 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 8 ip vlan manag port 8 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 9 ip vlan manag port 9 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 10 ip vlan manag port 10 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 11 ip vlan manag port 11 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 12 ip vlan manag port 12 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 13 ip vlan manag port 13 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 14 ip vlan manag port 14 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 15 ip vlan manag port 15 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 16 ip vlan manag port 16 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 17 ip vlan manag port 17 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 18 ip vlan manag port 18 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 19 ip vlan manag port 19 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 20 ip vlan manag port 20 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 21 ip vlan manag port 21 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 22 ip vlan manag port 22 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 23 ip vlan manag port 23 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 24 ip vlan manag port 24 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 25 ip vlan manag port 25 permit priority 7 replace_priority replace_dscp_with 63
config access_profile profile_id 11 add access_id 26 ip vlan manag port 26 permit priority 7 replace_priority replace_dscp_with 63
2.#Запрещаем PPPOE сервера с клиентских портов(1-24, 26). Аплинк соответсвенно в 25 порту
Код:
create access_profile packet_content_mask offset_16-31 0xFFFF00FF 0x0 0x0 0x0 profile_id 13
config access_profile profile_id 13 add access_id 1 packet_content_mask offset_16-31 0x88630007 0x0 0x0 0x0 port 1 deny
config access_profile profile_id 13 add access_id 2 packet_content_mask offset_16-31 0x88630007 0x0 0x0 0x0 port 2 deny
config access_profile profile_id 13 add access_id 3 packet_content_mask offset_16-31 0x88630007 0x0 0x0 0x0 port 3 deny
config access_profile profile_id 13 add access_id 4 packet_content_mask offset_16-31 0x88630007 0x0 0x0 0x0 port 4 deny
config access_profile profile_id 13 add access_id 5 packet_content_mask offset_16-31 0x88630007 0x0 0x0 0x0 port 5 deny
config access_profile profile_id 13 add access_id 6 packet_content_mask offset_16-31 0x88630007 0x0 0x0 0x0 port 6 deny
config access_profile profile_id 13 add access_id 7 packet_content_mask offset_16-31 0x88630007 0x0 0x0 0x0 port 7 deny
config access_profile profile_id 13 add access_id 8 packet_content_mask offset_16-31 0x88630007 0x0 0x0 0x0 port 8 deny
config access_profile profile_id 13 add access_id 9 packet_content_mask offset_16-31 0x88630007 0x0 0x0 0x0 port 9 deny
config access_profile profile_id 13 add access_id 10 packet_content_mask offset_16-31 0x88630007 0x0 0x0 0x0 port 10 deny
config access_profile profile_id 13 add access_id 11 packet_content_mask offset_16-31 0x88630007 0x0 0x0 0x0 port 11 deny
config access_profile profile_id 13 add access_id 12 packet_content_mask offset_16-31 0x88630007 0x0 0x0 0x0 port 12 deny
config access_profile profile_id 13 add access_id 13 packet_content_mask offset_16-31 0x88630007 0x0 0x0 0x0 port 13 deny
config access_profile profile_id 13 add access_id 14 packet_content_mask offset_16-31 0x88630007 0x0 0x0 0x0 port 14 deny
config access_profile profile_id 13 add access_id 15 packet_content_mask offset_16-31 0x88630007 0x0 0x0 0x0 port 15 deny
config access_profile profile_id 13 add access_id 16 packet_content_mask offset_16-31 0x88630007 0x0 0x0 0x0 port 16 deny
config access_profile profile_id 13 add access_id 17 packet_content_mask offset_16-31 0x88630007 0x0 0x0 0x0 port 17 deny
config access_profile profile_id 13 add access_id 18 packet_content_mask offset_16-31 0x88630007 0x0 0x0 0x0 port 18 deny
config access_profile profile_id 13 add access_id 19 packet_content_mask offset_16-31 0x88630007 0x0 0x0 0x0 port 19 deny
config access_profile profile_id 13 add access_id 20 packet_content_mask offset_16-31 0x88630007 0x0 0x0 0x0 port 20 deny
config access_profile profile_id 13 add access_id 21 packet_content_mask offset_16-31 0x88630007 0x0 0x0 0x0 port 21 deny
config access_profile profile_id 13 add access_id 22 packet_content_mask offset_16-31 0x88630007 0x0 0x0 0x0 port 22 deny
config access_profile profile_id 13 add access_id 23 packet_content_mask offset_16-31 0x88630007 0x0 0x0 0x0 port 23 deny
config access_profile profile_id 13 add access_id 24 packet_content_mask offset_16-31 0x88630007 0x0 0x0 0x0 port 24 deny
config access_profile profile_id 13 add access_id 26 packet_content_mask offset_16-31 0x88630007 0x0 0x0 0x0 port 26 deny
3.#Разрешаем ARP Broadcast+PPPOE c высоким приоритетом + Loopback(для работы функции Looopback Detection)
Код:
create access_profile ethernet ethernet_type profile_id 16
config access_profile profile_id 16 add access_id auto_assign ethernet ethernet_type 0x806 port 1-26 permit
config access_profile profile_id 16 add access_id auto_assign ethernet ethernet_type 0x8863 port 1-26 permit priority 3 replace_priority replace_dscp_with 25
config access_profile profile_id 16 add access_id auto_assign ethernet ethernet_type 0x8864 port 1-26 permit priority 3 replace_priority replace_dscp_with 25
config access_profile profile_id 16 add access_id auto_assign ethernet ethernet_type 0x9000 port 1-26 permit
4. # запрещаем весь Broadcast
Код:
create access_profile ethernet destination_mac ff-ff-ff-ff-ff-ff profile_id 17
config access_profile profile_id 17 add access_id auto_assign ethernet destination_mac ff-ff-ff-ff-ff-ff port 1-26 deny
5. ##Блокируем Netbios и прочую виндовую шнягу
# Также блокируем порты UDP 67-68. (Мы используем DHCP Relay, а он отрабатывает раньше ACL)
Код:
create access_profile packet_content_mask offset_16-31 0x0 0x0 0x000000ff 0x0 offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 18
config access_profile profile_id 18 add access_id auto_assign packet_content_mask offset_16-31 0x0 0x0 0x00000011 0x0 offset_32-47 0x0 0x0 0x00440000 0x0 port 1-26 deny
config access_profile profile_id 18 add access_id auto_assign packet_content_mask offset_16-31 0x0 0x0 0x00000011 0x0 offset_32-47 0x0 0x0 0x00430000 0x0 port 1-26 deny
config access_profile profile_id 18 add access_id auto_assign packet_content_mask offset_16-31 0x0 0x0 0x00000006 0x0 offset_32-47 0x0 0x0 0x00870000 0x0 port 1-24 deny
config access_profile profile_id 18 add access_id auto_assign packet_content_mask offset_16-31 0x0 0x0 0x00000011 0x0 offset_32-47 0x0 0x0 0x00890000 0x0 port 1-24 deny
config access_profile profile_id 18 add access_id auto_assign packet_content_mask offset_16-31 0x0 0x0 0x00000011 0x0 offset_32-47 0x0 0x0 0x008a0000 0x0 port 1-24 deny
config access_profile profile_id 18 add access_id auto_assign packet_content_mask offset_16-31 0x0 0x0 0x00000006 0x0 offset_32-47 0x0 0x0 0x008b0000 0x0 port 1-24 deny
config access_profile profile_id 18 add access_id auto_assign packet_content_mask offset_16-31 0x0 0x0 0x00000006 0x0 offset_32-47 0x0 0x0 0x01710000 0x0 port 1-24 deny
config access_profile profile_id 18 add access_id auto_assign packet_content_mask offset_16-31 0x0 0x0 0x00000006 0x0 offset_32-47 0x0 0x0 0x01bd0000 0x0 port 1-24 deny
config access_profile profile_id 18 add access_id auto_assign packet_content_mask offset_16-31 0x0 0x0 0x00000006 0x0 offset_32-47 0x0 0x0 0x02510000 0x0 port 1-24 deny
config access_profile profile_id 18 add access_id auto_assign packet_content_mask offset_16-31 0x0 0x0 0x00000011 0x0 offset_32-47 0x0 0x0 0x076c0000 0x0 port 1 deny
config access_profile profile_id 18 add access_id auto_assign packet_content_mask offset_16-31 0x0 0x0 0x00000006 0x0 offset_32-47 0x0 0x0 0x13880000 0x0 port 1-24 deny
6. Разрещающее правило для адресов.(на данном порту может быть клиент только с IP адресом AA.BB.CC.DD
Правил надо понаделать на каждом порту куда воткнуты абоненты
Код:
create access_profile ip source_ip_mask 255.255.255.255 profile_id 50
config access_profile profile_id 50 add access_id 1201 ip source_ip AA.BB.CC.DD port <N порта> permit
7.Запрещающее правило
Код:
create access_profile ip source_ip_mask 0.0.0.0 profile_id 60
config access_profile profile_id 60 add access_id 1201 ip source_ip 0.0.0.0 port <N порта> deny
8. Правило запрещающее все что не IP
Код:
create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 70
config access_profile profile_id 70 add access_id 1201 ethernet source_mac 00-00-00-00-00-00 <N порта> deny
Поясню немного про последние 3 правила:
Было бы логичным прописать правило 60 и 70 на все абонентские порты сразу, а в правиле 50 разрешить нужные IP адреса для нужных портов, НО:
в реальной сети сразу сделать это не получается, а правила 50, 60,70 делаются из биллинга как привязка IP-PORT-Binding
Таким образом можно по очередности из биллинга включать привязку каждому абоненту по очереди и не опасаться убить всем все последним правилом.
И у нас остался еще 1 профиль ACL и чуть больше 350 свободный правил.