Вечер добрый!

Хочу написать ACL для 3200 ревизии /C1, но прямо какая то беда с ними. Жесткие лимиты как по количеству профилей, так и по аппаратным ресурсам.
Задумка у меня такая:
Профиль #3: разрешить трафик в определенных vlan и дать абсолютные разрешения некоторым портам
Профиль #4: Запретить доступ к сетям управления и некоторые TCP-порты
Профиль #5: Разрешить для абонентских портов доступ с определенных SRC IP и разрешить только валидные ARP
Профиль #6: Изменить метку DSCP для мультикаста с магистральных портов
Профиль #7: Запретить мультикаст от абонентов
Профиль #9: Запретить броадкаст, остальной IP и ARP трафик и остальной неизвестный трафик

Как видно, все "хотелки" обоснованные, к тому же их не так уж и много. Для этого создаю вот такие профили:
create access_profile profile_id 3 profile_name vip ethernet source_mac 00-00-00-00-00-00 vlan 0xFF0
create access_profile profile_id 4 profile_name security ip destination_ip_mask 255.255.0.0 tcp dst_port_mask 0xFFFF
create access_profile profile_id 5 profile_name pcf packet_content_mask offset_chunk_1 3 0xFFFF offset_chunk_2 7 0xFFFFFEF8 offset_chunk_3 8 0xF80000
create access_profile profile_id 6 profile_name multdscp ip destination_ip_mask 255.255.248.0
create access_profile profile_id 7 profile_name denymult ip destination_ip_mask 240.0.0.0
create access_profile profile_id 9 profile_name block ethernet destination_mac FF-FF-FF-FF-FF-FF source_mac FF-FF-FF-FF-FF-FF ethernet_type

При этом одновременно удается внести только два профиля (разных), а потом получаю ошибку:


Объединить профили не получается, т.к. везде использую разные маски. Засунуть все в PCF - тоже, т.к. не хватает чанков. Такое ощущение, что ACL есть как бы "для галочки", как их использовать на практике непонятно. С другими сериями таких сложностей не возникало.

Вопрос: Как переорганизовать мои профили ACL так, чтобы они влезли в ограничения коммутатора?

DES-3200-28 / 4.39.B008

p.s. Все правила уже написаны, по отдельности все работает как надо. Проблема в том, что не получается собрать все вместе из-за аппаратных ограничений.

_________________
D-Link Switches: Tips & Tricks

Ага, я понял, оказывается можно создать ВСЕГО 4 профиля, а не добавить 4 к двум существующим - не внимательно читал презенташку. То есть один ethernet, один ip и еще на выбор, причем pcf можно сделать только один.
Что ж, это очень и очень печально.

Теперь у меня остался такой вопрос: Не возникнет ли конфликта между правилами, если я настрою зарезервированный профиль, а потом включу, например address binding? То есть не будут ли затронуты мои правила, как такое получалось на серии DES-3028 (к примеру, auto_fdb расходовало оффсет)?

_________________
D-Link Switches: Tips & Tricks