обязательно попробую!а с другими портами такая же беда?а Вы прямо в мыло пишите! так быстрее будет

да без проблем
куда писать?
пишите с личку

возможно ли на 3526 настрить ACL таким образом, чтобы порты пропускали только IP и ARP трафик и при этом только с и на определённые IP-адреса?

пробовал делать вот так:
create access_profile ethernet ethernet_type profile_id 10
config access_profile profile_id 10 add access_id 1 ethernet ethernet_type 0x800 port 1-24 permit
config access_profile profile_id 10 add access_id 25 ethernet ethernet_type 0x806 port 1-24 permit

create access_profile ip destination_ip_mask 255.255.255.255 profile_id 11
config access_profile profile_id 11 add access_id 1 ip destination_ip X.X.X.X port 1-24 permit

create access_profile ip source_ip_mask 255.255.255.255 profile_id 12
config access_profile profile_id 12 add access_id 1 ip source_ip X.X.X.X port 1-24 permit

create access_profile ip source_ip_mask 0.0.0.0 profile_id 17
config access_profile profile_id 17 add access_id 1 ip source_ip 0.0.0.0 port 1-24 deny

create access_profile ip destination_ip_mask 0.0.0.0 profile_id 18
config access_profile profile_id 18 add access_id 1 ip destination_ip 0.0.0.0 port 1-24 deny

create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 19
config access_profile profile_id 19 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-24 deny,

но так оно не работает (если проходит первое правило то на следующие уже не смотрит).

и не будет! Вы уже разрешили IP протоколи что Вы собираетесь фильтровать дальше? все пакеты уже были пропущены этим правилом... уберите тут разрешение IP протокола и попробуйте... должно заработать как Вам надо

спасибо, пробую дальше..

теперь создал ACL так:

create access_profile ethernet ethernet_type profile_id 1
config access_profile profile_id 1 add access_id 1 ethernet ethernet_type 0x806 port 3 permit

create access_profile ethernet destination_mac ff-ff-ff-ff-ff-ff profile_id 2
config access_profile profile_id 2 add access_id 1 ethernet destination_mac ff-ff-ff-ff-ff-ff port 3 deny

create access_profile ip tcp dst_port_mask 0xffff profile_id 3
config access_profile profile_id 3 add access_id 1 ip tcp dst_port 135 port 3 deny
config access_profile profile_id 3 add access_id 25 ip tcp dst_port 139 port 3 deny
config access_profile profile_id 3 add access_id 49 ip tcp dst_port 445 port 3 deny

create access_profile ip udp dst_port_mask 0xffff profile_id 4
config access_profile profile_id 4 add access_id 1 ip udp dst_port 137 port 3 deny
config access_profile profile_id 4 add access_id 25 ip udp dst_port 138 port 3 deny

create access_profile ip source_ip_mask 255.255.255.0 destination_ip_mask 255.255.255.0 profile_id 5
config access_profile profile_id 5 add access_id 1 ip source_ip 10.5.6.0 destination_ip 192.168.120.0 port 3 permit
config access_profile profile_id 5 add access_id 25 ip source_ip 192.168.120.0 destination_ip 10.5.6.0 port 3 permit

create access_profile ip source_ip_mask 255.255.255.0 destination_ip_mask 255.255.255.255 profile_id 6
config access_profile profile_id 6 add access_id 1 ip source_ip 10.5.6.0 destination_ip 10.5.1.3 port 3 permit
config access_profile profile_id 6 add access_id 25 ip source_ip 10.5.6.0 destination_ip 10.5.1.9 port 3 permit

create access_profile ip source_ip_mask 255.255.255.255 destination_ip_mask 255.255.255.0 profile_id 7
config access_profile profile_id 7 add access_id 1 ip source_ip 10.5.1.3 destination_ip 10.5.6.0 port 3 permit
config access_profile profile_id 7 add access_id 25 ip source_ip 10.5.1.9 destination_ip 10.5.6.0 port 3 permit

create access_profile ip source_ip_mask 0.0.0.0 destination_ip_mask 0.0.0.0 profile_id 8
config access_profile profile_id 8 add access_id 1 ip source_ip 0.0.0.0 destination_ip 0.0.0.0 port 3 deny

create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 9
config access_profile profile_id 9 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 3 deny

задача - через 3 порт должны проходить только пакеты от 10.5.6.0/24 на 10.5.1.3, 10.5.1.9, 192.168.120.0/24 и обратно.
но с таким ACL опять проходит всё.. что не так на этот раз?

а Вы ууверены насчет:особенно насчет destination_ip? по моему должно быть destination_ip, т.к.:и кстати, почему Вы пишете правила для того что в 3-й порт вообще не втыкается? т.е. как я понял, адреса 10.5.1.3 и 10.5.1.9 - это адреса серваков...

честно говоря, ни в чём не уверен.. делал по аналогии с http://dlink.ru/technical/faq_hub_switch_45.php
правила для серверов писал, чтобы пропускались пакеты не только на них, но и обратно.. или я что-то не так понимаю?

Совершенно верно. Не понимаете.
Принципиальный момент: правила ACL работают только для трафика, ВХОДЯЩЕГО в порт.
Так что для решения поставленной вами задачи придется "подвешивать" ACL на все порты коммутатора, которые участвуют в обмене, обозначенном в условии задачи.
И кстати, вы не указали, какая именно сеть (хост) из перечисленных в который из портов коммутатора подключена.

2 Vladimir Gerasimov спасибо Вам, только что сам хотел то же самое сказать... я в принципе намекал на этоно видать тут намеками не обойтись Вы правильно заметили что ACL применяется к пакетам входящим в порт и соответственно фильтруются только они

ув. stroman, думайте как свич, т.е. Вы - порт свича, Вам дают что то в руки и Вы можете либо взять это либо отказаться, а вот отдать что-то , что у Вас есть вы просто обязаны при этом Вы даже не знаете что именно у Вас есть, Вы просто молча это отдаете... немного утрированно но примерно так

спасибо. принципиальный момент для меня новость.
в 1-24 порты включены рабочие станции 10.5.6.X/16, сам свитч - 10.5.6.254/16, через 25-26 порты подключается к 192.168.120.X/24, 10.5.1.3/16 и 10.5.1.9/16.
каждая рабочая станция должна видеть только 10.5.1.3, 10.5.1.9 и 192.168.120.X/24.
между этим свитчём и 10.5.1.3, 10.5.1.9 и 192.168.120.X/24 стоят такие же свитчи, соответственно 25 и 26 порты должны пропускать все пакеты на 10.5.X.X/16, иначе рабочие станции последующих свитчей просто не смогут работать.

Вот что получается на данный момент:


к сожалению, пока попробовать не могу.. так что исправьте, пожалуйста, если что-то опять не так..

Все же непонятно. Из какого адресного IP-пространства (10.5.6.X/24 или 10.5.X.X/16) включены станции в порты 1-24 коммутатора?
Если 10.5.X.X/16, то надо править пятый и шестой профайлы (с целью "уширения" source_ip-маски с 255.255.255.0 до 255.255.0.0
Если все же в 1-24-портах "сидят" адреса из диапазона 10.5.6.X/24, то следует ужесточить профайлы 7 и 8, сузив destination_ip-маску с 255.255.0.0 до 255.255.255.0, и соответственно, уточнив destination_ip с 10.5.0.0 до 10.5.6.0. И в этом случае ваше высказывание является ложным

в 1-24 порты включаются машины с адресами 10.2.6.Х с маской 16 бит. Но адресация в сети такая, что 6 означает порядковый номер свитча, т.е. в этот свитч подключаются только машины с вышеуказанными адресами, поэтому 5 и 6 профайлы сделал такими.

кажется всё работает как надо. спасибо за помощь.
ещё такой вопрос - возможно ли сделать, чтобы данные правила действовали только в default(1) vlan?

Конечно можно.
В команды "create_profile..." добавляете ключевое слово "vlan", а в команды "config access_profile..." дописываете идентификатор vlan'а

Пробовал ли кто-нибудь передать с помощью SNMP правила packet_content_mask на коммутатор ? Нашел ветку OID-ов в MIBах .1.3.6.1.4.1.171.12.9.1.3.1 но не удается произвести изменения, хотя читаются все параметры исправно. Не дайте помереть дураком, подскажите формат записи SNMP на примере.