Есть свичи DES-3200-26
Код:
Firmware Version : Build 4.32.B008
Hardware Version : C1
Есть ACL
Код:
create access_profile profile_id 1 profile_name ETH ethernet source_mac 00-00-00-00-00-00 ethernet_type
config access_profile profile_id 1 add access_id 11 ethernet ethernet_type 0x806 port 1-26 permit
config access_profile profile_id 1 add access_id 12 ethernet ethernet_type 0x9000 port 1-26 permit
config access_profile profile_id 1 add access_id 13 ethernet ethernet_type 0x86DD port 1-26 deny
config access_profile profile_id 1 add access_id 200 ethernet source_mac 00-00-00-00-00-00 port 25-26 permit
create access_profile profile_id 2 profile_name IP ip protocol_id_mask 0xFF user_define_mask 0xFFFFFFFF
config access_profile profile_id 2 add access_id 21 ip protocol_id 17 user_define 0x43 mask 0xFFFF port 1-24 permit
config access_profile profile_id 2 add access_id 22 ip protocol_id 17 user_define 0x89 mask 0xFFFF port 1-24 deny
config access_profile profile_id 2 add access_id 23 ip protocol_id 17 user_define 0x8A mask 0xFFFF port 1-24 deny
config access_profile profile_id 2 add access_id 24 ip protocol_id 17 user_define 0x76C mask 0xFFFF port 1-24 deny
config access_profile profile_id 2 add access_id 25 ip protocol_id 6 user_define 0x87 mask 0xFFFF port 1-24 deny
config access_profile profile_id 2 add access_id 26 ip protocol_id 6 user_define 0x8B mask 0xFFFF port 1-24 deny
config access_profile profile_id 2 add access_id 27 ip protocol_id 6 user_define 0x1BD mask 0xFFFF port 1-24 deny
create access_profile profile_id 3 profile_name CLIENT ip source_ip_mask 0.0.0.0 destination_ip_mask 0.0.0.0
config access_profile profile_id 3 add access_id 31 ip destination_ip 10.0.0.0 mask 255.0.0.0 port 1-24 deny
config access_profile profile_id 3 add access_id 32 ip destination_ip 172.16.0.0 mask 255.224.0.0 port 1-24 deny
config access_profile profile_id 3 add access_id 33 ip destination_ip 192.168.0.0 mask 255.255.0.0 port 1-24 deny
config access_profile profile_id 3 add access_id 41 ip source_ip x.x.1.2 mask 255.255.255.255 port 25-26 permit
config access_profile profile_id 3 add access_id 51 ip destination_ip x.x.1.2 mask 255.255.255.255 port 1-24 permit
config access_profile profile_id 3 add access_id 201 ip source_ip x.x.102.198 mask 255.255.255.255 port 1 permit
config access_profile profile_id 3 add access_id 202 ip source_ip x.x.102.199 mask 255.255.255.255 port 2 permit
config access_profile profile_id 3 add access_id 255 ip source_ip 0.0.0.0 mask 0.0.0.0 port 1-24 deny
Логика такая - разрешаю АРПы и LoopDetect, запрещаю IPv6 в первом профиле, запрещаю всякие порты во втором и в 3м идёт запрет серых сетей, разрешаем доступ в ЛК даже при блокировке (адрес х.х.1.2), управление доступом в инет для клиентов. Такое ощущение что 3й профиль вообще не работает.
Удаляю из него access_id 201 юзер на первом порту, а он всё равно работает. если добавить
Код:
config access_profile profile_id 1 add access_id 255 ethernet source_mac 00-00-00-00-00-00 port 1-24 deny
то ни у кого ничего не работает, даже ЛК. Что делаю не так и можете объяснить популярно как все-таки выбирается применяемое правило и как лучше составить полный список ACL в данном случае.
P.S. Включен DHCP Snooping, судя по show access_profile создает Profile ID: 513 Profile name: IMPBv4 для привязок. Он какой приоритет имеет ?