У меня des 3526, Firmware 3.01.B23.

А проблема такая, есть влан, есть 192.168.1.1 - шлюз, есть 192.168.1.2, 192.168.1.19 - компы, нужно что бы они ходили в инет через шлюз, и не ходили друг на друга, и все это с привязкой к порту, 1 - на первый порт, 2- на второй порт, а 19 - на третий, сделал так :

create access_profile ip vlan source_ip_mask 255.255.255.255 destination_ip_mask 255.255.255.255 profile_id 10

config access_profile profile_id 10 add access_id 1 ip vlan v2 source_ip 192.168.1.1 port 1 permit

config access_profile profile_id 10 add access_id 2 ip vlan v2 source_ip 192.168.1.2 destination_ip 192.168.1.1 port 2 permit

config access_profile profile_id 10 add access_id 3 ip vlan v2 source_ip 192.168.1.19 destination_ip 192.168.1.1 port 3 permit

create access_profile ip vlan source_ip_mask 0.0.0.0 destination_ip_mask 0.0.0.0 profile_id 11

config access_profile profile_id 11 add access_id 1 ip vlan v2 source_ip 0.0.0.0 destination_ip 0.0.0.0 port 2 deny

config access_profile profile_id 11 add access_id 2 ip vlan v2 source_ip 0.0.0.0 destination_ip 0.0.0.0 port 3 deny

и получается что порт 192.168.1.1 пингуется но в инет выхода нет, запрещающее правило убираешь все идет (но тока все ипишники без разбору)
что я делаю не так?

а у Вас DNS сервер где поднят?
И не проще задачу решить при помощи traffic Segmentation?

_________________
С уважением, Карагезов Владислав

Как я понял с помощью Traffic Segmentation можно указать какому порту куда можно, а мне нужно еще с конкретному порту привязать конкретный IP... это как сделать?

ну, если ip - то ACL

_________________
С уважением, Карагезов Владислав

В том и состоит проблема.....что есть проблемы с acl, описанные выше.
У нас своя сеть класса С и свой домен в нем есть два dns- сервера, которые поддерживаю зоны.
По описанной ранее схеме ACL фильтрация IP реализуеся, но дальше пингуемого шлюза выхода нет......
И кстати это только один влан, а таких у меня 3 штуки, остальные по сложнее, там целые группы IP нужно будет привязывать к конкретному порту и пускать в определенном направлении.

а для доступа к DNS права есть?

_________________
С уважением, Карагезов Владислав

Что Вы имеете ввиду под понятием доступ?

ip алрес вашего DNS сервера какой?

_________________
С уважением, Карагезов Владислав

194.84.70.130

ну так что же Вы хотели? если у Вас не прописано разрешение на доступ к DNS?

_________________
С уважением, Карагезов Владислав

то есть Вы хотите сказать, что мне нужно еще компам кроме шлюза, разрешить выход на dns ?

ну, в принципе, можно и не разрешать - дело ваше если доступ в Интернет не нужен.

_________________
С уважением, Карагезов Владислав

нет ну так не пойдет, я ща тока что разрешил выход на 194.168.70.130, днс то бишь, теперь я пингую и шлюз и днс (даллее денай), но это что же, я все ип (по пути к ресурсу) всех серверов прописывать буду?
Что то по моему не так....

не буду с Вами спорить о необходимости доступа к шлюзу и DNS для обеспечения доступа к интернет.

_________________
С уважением, Карагезов Владислав

я не стараюсь с спорить с Вами, просто констатирую факт, я прописал доступ к днс - получил днс, но выхода в инет нет, поэтому и прошу Вас оказать мне помощь, что я сделал не так....