1. Желаю "провериться"..
Вопрос о приоритетах и порядке прохождения пакетов по АЦЛ.
Исходя из цитаты мануала
Код:
A lower profile_id gives the rule a higher priority. In case of a conflict in the rules entered for different profiles, the rule with the highest priority (lowest profile_id) will take precedence
следует, что профайл с меньшим ID будет всегда иметь наивысший приоритет. Соотв. попавший в него пакет, в случае совпадения критерия данного ACL, уже
не будет обработан профайлом с большим ID, даже в случае, если он также будет удовлетворять критерию этого профайла.
Т.е. в данной "конструкции"
Код:
create access_profile ip source_ip_mask 255.255.255.255 destination_ip_mask 255.255.240.0 profile_id 1
config access_profile profile_id 1 add access_id auto_assign ip source_ip 10.0.196.77 destination_ip 10.0.192.0 port 3 deny
create access_profile ip source_ip_mask 255.255.240.0 destination_ip_mask 255.255.240.0 profile_id 2
config access_profile profile_id 2 add access_id auto_assign ip source_ip 10.0.192.0 destination_ip 10.0.192.0 port 1-24 permit
пакет с IP 10.0.196.77 дропнется профайлом №1 и не попадет, или будет отброшен профайлом №2.
Это верно?
2. Возможно ли каким-либо образом (очень желательно по snmp) контролировать приближение к порогу на ограничение кол-ва правил на группу портов? Правила создаются динамически скриптом и "заливаются" в коммутатор по snmp. Их количество зависит от количества пользователей и одновременно от динамически изменяющихся критериев (пропустить/дропнуть) для каждого пользователя (IP/MAC).
Вход
Регистрация
FAQ
Поиск
