Здравствуйте.

Имеем свитч:

Device Type : DES-3200-10 Fast Ethernet Switch
Boot PROM Version : Build 4.00.002
Firmware Version : Build 4.34.B009
Hardware Version : C1



Пытаемся создать еще один профиль и получаем облом:



Если включить, допустим, ARP spoofing prevention, то и 4-го профиля не было бы, т.к. свитч стал бы ругаться на "hardware resource" уже после одного своего профиля.

А как же презентация PowerPoint Руслана Бигарова, где сообщается о 3 (трех) профилях Ethernet + 3 (три) профиля IP пользователя в дополнение к системным?

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

На этой серии общее количество возможных профилей - 4. О какой презентации идет речь?

Об этой - https://dl.dropbox.com/u/41324937/Presentation/New_ACL.ppt вот из этого поста - http://forum.dlink.ru/viewtopic.php?p=827444#p827444

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Вот цитата из этой презентации: "Особенности ACL коммутаторов серии DES-3200 C1: Максимально можно создать 4 ACL профиля и 1024 правил для входящего трафика."

ОК, я согласен на 4 Как их создать, если после двух нельзя, а два других я не создавал?

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Два создаются автоматически. Если Вы посмотрите конфигурацию, то можете увидеть, что они уже есть изначально и используются совместно с системным функционалом.

Я это понимаю. Но вопрос - как создать 4 своих профиля. Ответ - никак. Создать можно 2 максимум, использовать 4 (2 своих+2 созданных)
Только вот два созданных использовать затруднительно. Все, что они могут, - установить приоритет и/или перемаркировать трафик

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Обратите внимание на то, что в профиле можно анонсировать большое количество полей, а в правиле использовать уже только то, что нужно.
Таким образом, обычно профилей вполне хватает.

Обратил, да. Придется использовать сразу все маски на будущее.
Проблема-то в том, что теперь придется учитывать в голове параллельную обработку правил, чтобы выстроить логику работы ACL. После DGS-3200 это, конечно, не так просто.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

В прошивке, которая у Вас используется на DES-3200 C1, логика работы правил привычная, то есть такая же, как была и на DGS-3200.

Ну как привычная.....если в 3-м профиле разрешается какой-то МАC, а в 4-м запрет на IP с этим MACом, то сработает в итоге то, что имеет меньший access_id.
А я привык уже, что сначала правила одного профиля просматриваются, потом следующего. Ну как-то последовательность ближе человеческому восприятию.

Ну и выбирать теперь придется - либо отказаться от Ethernet, либо от IP, потому что нужно обязательно использовать PCF. Сделали бы хотя бы по одному профилю на каждый тип, зачем так урезали функционал...

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

На используемой у Вас прошивке логика для 3 и 4 профилей такая же, как на DGS-3200. Логику сделали привычной начиная с 4.32 прошивок.

Я правильно понимаю, что если пакет удовлетворяет условиям какого-то access_id профиля 3, то правила профиля 4 уже не будут присматриваться?

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Да, если пакет будет разрешен 3-им профилем, то 4-ый его уже не заблокирует.

А, ну отлично!

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)