У меня такое было с IP адрессом, я прошил новую версию не сбросив настройки в дефаулт, через веб менять не хотело - писал не правилный IP, сбросил в дефаулт начал менять.

а я это делал на "чистом", только что распакованном свитче.

Ладно буду надеятся что софт свитча и веб морду писали очень разные люди. Нашел баг скорее всего в консоли. Трейс к сожалению не остался, но я попытался удалить из консоли менеджмен вилан (ошибся), свитч дико отругался сказал чтото про routing interface и не выполнил команду, я его конфигурял дальше, все работало, сохранил настройки, поднял на чердак, прихожу домой а свитч в конфиге не виден, все настроенные виланы через себя пропускает а не управляется и на другие не дает ходить. Поднялся снова с консольным шнурком. Менеджмент вилана не стало! все настройки перебросились на default вилан и сбросился IP в IP по умолчанию 10.90.90.90, т.е. несмотря на то что он выдал ошибку, команду он всеже выполнил, причем показал ее после перезагрузки

Еще один глюк
создал правило фильтрации на основе адреса получателя IP с маской 255.0.0.0 и вилана
в нем создал подправило все что идет на 239.0.0.0 в вилане Users на порту 19 - убить (пытаюсь отрезать мультикаст потоки на радио канале), клиенты за 19м портом перестали получать адреса по DHCP

пробывали разрешить DHCP _ДО_ применения этого правила? т.к. раз пакет попал в правило - он отбросился, поэтому принудительно разрешите 67 и 68 UDP порты на этом порту (каламбурчик получился )

Да нет свитч пустой более правил никаких ... просто запрет на 239.0.0.0/8 никак не должен был отразится на блокирование трафика с 0.0.0.0 на 255.255.255.255, а отразился, чему я в посте и удивился.

Попробовл фичу Limited IP Multicast Range
ввел что на 19м порту у меня запрещены 239.0.0.239-239.0.0.245 (адресса вещения телефидения), но данные всеравно просачиваются потому как юзер поставил за 19м портом 2003 сервер, и он зараза мнит себя Multicast роутером , а на порты мультикаст роутера сыпется весь мультикаст трафик.

Вот такой вот ACL все равно пропускает трафик на мой бедный 19й порт свитча, когда он становится multicast router port из-за настройки юзерского компа. Кстати ограничение Limited IP Multicast Range, тоже стоят и обычноые пользователи прицепиться не могут.

# ACL

create access_profile ip vlan destination_ip_mask 255.0.0.0 udp profile_id 8
config access_profile profile_id 8 add access_id 2 ip vlan Users destination_ip 239.0.0.0 udp port 19 deny

а данное правило действует на всех портах этого VLAN? а то Вы указали как признак соответствия VLAN тег, но что то я вижу только одно правило...

Да меня интресует возможность закрыть доступ к 239.0.0.0/8 мультикаст трафику только 19му порту.

надо подождать Карагезова... он точно скажет кстати интерсно, а как Ваш ACL вообще пашет? в качестве шаблона Вы указали маску сети, а в теле правила - адрес, причем адрес не конкретный... IMHO это несколько не верно... насколько я понял в результате игрищ с ацл, консоли до одного места что ты вводишь, она дефакто подразумевает твою образованность, что конечно не может не радовать, но вот попадет пакет под правило (rule) - вопрос... поэтому, IMHO, что правильнее всетаки указывать в профиле чего конкретно хочется, а потом под это и только под это писать правила... сиречь указал маску для порта на вход - вот и пиши порты только на вход, указал ip+маска - пиши ip + маска, а я пробывал вон создать профиль для ip icmp а туда влехкую вносились и МАС адреса и протоколы и вообще все подряд, но вот удалить его кроме как через ребут нельзя было

может Вам стоит таки поиграться с conf limit multicast addr?

config limited multicast address 19 from 239.0.0.239 to 239.0.0.245 access deny

выставил сразу, юзеры не могут коннектиться, но как только мультикаст роутер появляется ... на это правило забить коммутатору становится. ПРобовал через ACL тоже не помогает. Может кто подскажет какой пакет дает инфу свитчу о том, что это мультикаст роутер?

тут только Ethereal подскажет...

Народ из длинка помог. Оказалось что фильтры на базе IP с мультикастом криво работают (незнаю бага это или фича), отфильтровал потоки по мас адрессам.

если бы они в новой прошивке сделали cisco like ACL - вот это было бы супер здорово! а то для того чтобы заблокировать что либо надо создавать немерянное кол-во ACL профилей и то их может быть всего 9 абыдна...

согласен, при сильно ограниченном общем их количестве. Но так же и согласен и с тем что таких недорогих свитчей с такой функциональностью более ни у кого не найти. Хоть и через задницу порой но проблемы можно как правило решить.