Ситуация такая.

1. Есть коммутатор DES-3200-26 rev C1 FW 4.36.

На нём созданы вланы Abonents tag 10 и uprav tag 11. uprav для управления.

В 25-й порт подключен коммутатор DES-3010. 25-й порт в обоих вланах тегированный.

Если на 25-м порту прописать следующие ACL:

create access_profile profile_id 1 ethernet vlan 0xFFF

config access_profile profile_id 1 add access_id 103 ethernet vlan_id 11 port 25 permit -- пропустить весь трафик из влана uprav


create access_profile profile_id 3 packet_content_mask offset_chunk_1 0 0xFFFF offset_chunk_2 1 0xFFFFFFFF

config access_profile profile_id 3 add access_id 105 packet_content offset_chunk_1 0x0 mask 0x0 offset_chunk_2 0x0 mask 0x0 port 25 deny -- запретить весь остальной трафик

то после перезагрузки коммутатора пропадает доступ к DES-3010, хотя ACL, разрешающая весь трафик управляющей влан, есть.

Что делать?

P.S.Такая же беда была с коммутаторами DES-3526 и DES-3200 AB, но там всё получилось, когда я прописал правило, разрешающее управляющий влан в профиле PCF. С профилями Ethernet и IP не работает.


2. Кроме этих, прописываю ещё пару правил, разрешающих "правильный трафик" от абонентов, а последнее правило режет всё остальное. Но после перезагрузки коммутатора, они тоже перестают работать. Опытным путём установлено, что эти ACL нормально работают на нетегированном порту, в который абонент включен непосредственно, но вот на тегированном порту, в котором другой коммутатор с абонентами, не работает.
Такое чувство, что свитч вообще не работает с тегами.
Что делать?

3. Подскажите, можно ли добраться до тега через PCF как в DES-3526? Ходят слухи, что нет.

Блин, неужели никто не сталкивался? Мож текста много. Давайте по другому.

Есть коммутатор DES-3200-26 rev C1 FW 4.36.
25-й порт тегированный в двух вланах с тегами, например, 10 и 11. На этом же порту есть ACL, запрещающий весь входящий трафик:

create access_profile profile_id 4 ethernet source_mac 00-00-00-00-00-00
config access_profile profile_id 4 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 25 deny

Каким должно быть реально работающее правило, предшествующее всеобщему запрету, которое позволит пропустить весь трафик из влан с тегом 11?

Алло, модераторы!!! Мне кто нибудь ответит?

Если я не ошибаюсь, то коммутатор 3200-xx c1 не видит в фильтре ACL PCF номеров VLAN на нетегированных портах, в отличии от DES 3526, DES 3200 a1.

Попробуйте такой acl

Работает, но не так, как хотелось бы.
Как выяснилось, работает, если правило, разрешающее тег 11, и правило, запрещающее весь остальной трафик, находятся в одном профиле.
Но если разнести их по разным профилям, например так:

то после перезагрузки свича трафик с тегом 11 проходить перестаёт.

Будут ли комментарии по этому поводу?

Ситуацию с разными профилями я проверю.
По поводу

что вас не устраивает в использовании одного профиля? Вам предложено рабочее решение - используйте его.

В данный момент устраивает, 4-й профиль свободный, попробую перенести туда.

Подниму старую тему.

Решил взяться за PCF ACL и понял, что мне не хватает 4-х чанков, чтобы уложить в них все требуемые хотелки. Таким образом, следует использовать еще и обычные ACL.
Первым правилом мне нужно разрешить тегированный трафик. Сейчас на стенде делаю это так:

Проблема в том, что все следующие правила я тоже должен делать PCF ACL, т.к. такой профиль может быть только один. Но, как уже сказал, мне там не хватает чанков.
А использовав один раз обычные ACL, я не смогу ниже вернуться к PCF ACL.

Вопрос: Можно ли разрешить тегированный трафик обычными ACL?
Разрешить/запретить конкретный vlan понятно как, но в этом случае коммутатор не смотрит на наличие метки.

p.s. 3200-28/C1, 4.39...

_________________
D-Link Switches: Tips & Tricks