DES-3828DC

Будет ли работать такая конструкция и будет ли работать правильно -
работает только одна сеть 172.16.0.0, бродкасты не ходят

create access_profile ip source_ip_mask 255.255.0.0 destination_ip_mask 255.255.0.0 profile_id 1
config access_profile profile_id 1 add access_id auto_assign ip source_ip 172.16.0.0 destination_ip 172.16.0.0 port 1 permit
config access_profile profile_id 1 add access_id auto_assign ip source_ip 172.16.0.0 destination_ip 172.16.0.0 port 2 permit
...
config access_profile profile_id 1 add access_id auto_assign ip source_ip 172.16.0.0 destination_ip 172.16.0.0 port 24 permit

create access_profile ip source_ip_mask 255.255.0.0 destination_ip_mask 255.255.0.0 profile_id 2
config access_profile profile_id 2 add access_id auto_assign ip source_ip 172.16.0.0 destination_ip 172.16.255.255 port 1 deny
config access_profile profile_id 2 add access_id auto_assign ip source_ip 172.16.0.0 destination_ip 172.16.255.255 port 2 deny
...
config access_profile profile_id 2 add access_id auto_assign ip source_ip 172.16.0.0 destination_ip 172.16.255.255 port 24 deny

create access_profile ip source_ip_mask 0.0.0.0 destination_ip_mask 0.0.0.0 profile_id 3
config access_profile profile_id 3 add access_id auto_assign ip source_ip 0.0.0.0 destination_ip 0.0.0.0 port 1 deny
config access_profile profile_id 3 add access_id auto_assign ip source_ip 0.0.0.0 destination_ip 0.0.0.0 port 2 deny
...
config access_profile profile_id 3 add access_id auto_assign ip source_ip 0.0.0.0 destination_ip 0.0.0.0 port 24 deny

1) 2-й профиль лишний
2) правила для серии 30хх актуально писать не по каждому порту, типа port 1 deny, а для всех портов: port all deny, это тупо съекономит правила

3) блок брудкастов делается так:

create access_prof ethernet destination_mac ff-ff-ff-ff-ff-ff ethernet_type profile_id 11
config access_prof profile 11 add access_id auto eth destination_mac ff-ff-ff-ff-ff-ff ethernet_type 0x806 port all permit

create access_prof ethernet destination_mac ff-ff-ff-ff-ff-ff profile_id 12
config access_prof profile 12 add access_id auto eth destination_mac ff-ff-ff-ff-ff-ff port all deny

Спасибо за ответ terrible

в смысле под него можно записать два правила
config access_profile profile_id 1 add access_id auto_assign ip source_ip 172.16.0.0 destination_ip 172.16.0.0 port 1 permit
и
config access_profile profile_id 2 add access_id auto_assign ip source_ip 172.16.0.0 destination_ip 172.16.255.255 port 1 deny
у меня так не сработало - пишет одинаковые тела что ли

у меня такое не работает

попробую разобраться

Ну он смысла не имеет, учитывая, что у вас есть 3-й, который и так убьёт весь IP трафик, неразрешённый ранее.

Так 2-й профиль будет выглядеть правильнее:
create access_profile ip source_ip_mask 255.255.0.0 destination_ip_mask 255.255.255.255 profile_id 2
config access_profile profile_id 2 add access_id auto_assign ip source_ip 172.16.0.0 destination_ip 172.16.255.255 port 1 deny
но смысла всё-равно в нём нет.


Да, прошу прощения, это актуально для 30ХХ, на 3828 всё-таки по каждому порту придётся делать.

Подводя итог можно сказать (хотя я пока не разбирался) удовлетворяют первому посту следующие правила
create access_profile ip source_ip_mask 255.255.0.0 destination_ip_mask 255.255.0.0 profile_id 1
config access_profile profile_id 1 add access_id auto_assign ip source_ip 172.16.0.0 destination_ip 172.16.0.0 port 1 permit
config access_profile profile_id 1 add access_id auto_assign ip source_ip 172.16.0.0 destination_ip 172.16.0.0 port 2 permit
...
config access_profile profile_id 1 add access_id auto_assign ip source_ip 172.16.0.0 destination_ip 172.16.0.0 port 24 permit

create access_prof ethernet destination_mac ff-ff-ff-ff-ff-ff ethernet_type profile_id 11
config access_prof profile 11 add access_id auto eth destination_mac ff-ff-ff-ff-ff-ff ethernet_type 0x806 port 1 permit
config access_prof profile 11 add access_id auto eth destination_mac ff-ff-ff-ff-ff-ff ethernet_type 0x806 port 2 permit
...
config access_prof profile 11 add access_id auto eth destination_mac ff-ff-ff-ff-ff-ff ethernet_type 0x806 port 24 permit

create access_prof ethernet destination_mac ff-ff-ff-ff-ff-ff profile_id 12
config access_prof profile 12 add access_id auto eth destination_mac ff-ff-ff-ff-ff-ff port 1 deny
config access_prof profile 12 add access_id auto eth destination_mac ff-ff-ff-ff-ff-ff port 2 deny
...
config access_prof profile 12 add access_id auto eth destination_mac ff-ff-ff-ff-ff-ff port 24 deny

ну и вот это тоже добавьте, предотвратит хождение левых ипов по сетке и задействует 1-й профиль:

create access_profile ip source_ip_mask 0.0.0.0 destination_ip_mask 0.0.0.0 profile_id 15
config access_profile profile_id 15 add access_id auto_assign ip source_ip 0.0.0.0 destination_ip 0.0.0.0 port 1 deny
config access_profile profile_id 15 add access_id auto_assign ip source_ip 0.0.0.0 destination_ip 0.0.0.0 port 2 deny
...
config access_profile profile_id 15 add access_id auto_assign ip source_ip 0.0.0.0 destination_ip 0.0.0.0 port 24 deny

Спасибо terrible

проще что-нибудь вроде create access_profile profile_id 15 ethernet source_mac 00:00:00:00:00:00
и config access_profile profile_id 15 add access_id xxx ethernet source_mac 00:00:00:00:00:00 port yyy deny
Иначе будут жить в сетке Netbeui, AppleTalk, IPX и прочие анахронизмы включая IPv6

Спасибо Helios