Коллеги, помогите разобратсья с ACL на DES-3526
Не могу понять как правильно написать простое правило.

Задача - разрешить прохождение пакетов только определенного ethernet_type в определенном VLAN.

Составляю ACL вида:

create access_profile ethernet vlan ethernet_type profile_id 6
config access_profile profile_id 6 add access_id auto_assign ethernet ethernet_type 0x8863 vlan default port 1-24 permit
config access_profile profile_id 6 add access_id auto_assign ethernet ethernet_type 0x8864 port 1-24 permit
config access_profile profile_id 6 add access_id auto_assign ethernet vlan default port 1-24 deny

Но после его применения - любые пакетики продолжают путешествовать по коммутатору.

Наверняка подобная тема уже поднималась в форуме, но поиском, увы, найти не смог.

Какая версия прошивки?
Как вариант - у вас уже есть разрешающие acl, под которые ранее попадает этот трафик, и до 6го профиля пакеты просто не доходят. Также что вы подразумеваете под "любые пакетики"? Пакеты в других vlan или пакеты дефолтного vlan?

Прошивка R6.20.B18.
Кроме приведенного выше ACL - только штатные насчет NetBIOS. (Цифра 6 в ID профиля - "с потолка".)

Экспериментальным путем установил, что если следующим прописать примерно такой ACL:

Все пакеты блокируются. Так, что дело в не наличии других разрешающих правил.


"Любые пакетики" - не сомве верно выразился. Проверял по ICMP - хост на целевом порту в дефолтном VLAN'e пинговался.
В принципе вариант с дополнительным "запрещающим" "profile_id 7" мне бы подошел.
Однако хочется разобраться в том, что именно я делаю не так - что бы потом на другие грабли не напороться.

У Вас тут не указан ethertype

Какой его надо указать, если я хочу заблокировать все протоколы?
0x0000 и 0xffff пробовал - не блокирует все.

В данном профиле не получится заблокировать все протоколы. Надо создать отдельный профиль, например тот же
create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 7