свитч DES-3028 прошивка DES_3028_52_V2.41-B05.had
есть желание полностью запретить хождение адресов 192.168.*.*
по сети на уровне arp
для этого хочу заблокировать следующие пакеты используя ACL свитчей
1)
tcpdump
Код:
03:36:05.789594 arp reply 192.168.0.2 is-at 08:00:27:bb:9b:7e
wireshark
Код:
0000 c6 1c 08 b1 df 74 08 00 27 bb 9b 7e(08 06)00 01 .....t.. '..~....
0010 08 00 06 04 00 02 08 00 27 bb 9b 7e c0 a8 00 02 ........ '..~....
0020 c6 1c 08 b1 df 74(c0 a8) 00 01 c3 89 54 be 50 18 .....t.. ....T.P.
0030 fb d0 38 17 00 00 17 03 01 01 02 e4 ..8..... ....
2)
tcpdump
Код:
03:36:06.789343 arp who-has 192.168.0.2 (08:00:27:bb:9b:7e) tell 192.168.0.1
wireshark
Код:
0000 08 00 27 bb 9b 7e c6 1c 08 b1 df 74(08 06)00 01 ..'..~.. ...t....
0010 08 00 06 04 00 01 c6 1c 08 b1 df 74 c0 a8 00 01 ........ ...t....
0020 08 00 27 bb 9b 7e(c0 a8) 00 02 ..'..~.. ..
в скобках содержимое пакета на основание которого есть желание построить фильтры (протокол и ip получателя )
по аналогии с 3526 построил правила:
Код:
create access_profile packet_content_mask offset_16-31 0xFFFF0000 0x0 0x0 0x0 offset_32-47 0xFFFF0000 0x0 0x0 0x0 profile_id 3
config access_profile profile_id 3 add access_id 1 packet_content offset 16 0x08060000 offset 32 0xc0a80000 port 1-28 deny
других ACL на свитче нет правила не отрабатывают
на 3526 использую для этих целей ACL
Код:
create access_profile packet_content_mask offset_16-31 0xFFFF0000 0x0 0x0 0x0 offset_32-47 0xFFFF0000 0x0 0x0 0x0 profile_id 3
config access_profile profile_id 3 add access_id 1 packet_content_mask offset_16-31 0x08060000 0x0 0x0 0x0 offset_32-47 0xc0a80000 0x0 0x0 0x0 port 1-26 deny
которые работают
Если не сложно подскажите что делаю не так.