|
Имеются следующие ACL. На DGS-3627G Firmware: Build 3.00.B27
create access_profile profile_id 1 ip tcp dst_port_mask 0xFFFF
config access_profile profile_id 1 add access_id 1 ip tcp dst_port 135 port 1-26 deny
config access_profile profile_id 1 add access_id 2 ip tcp dst_port 138 port 1-26 deny
config access_profile profile_id 1 add access_id 3 ip tcp dst_port 137 port 1-26 deny
config access_profile profile_id 1 add access_id 4 ip tcp dst_port 139 port 1-26 deny
config access_profile profile_id 1 add access_id 5 ip tcp dst_port 445 port 1-26 deny
config access_profile profile_id 1 add access_id 6 ip tcp dst_port 5357 port 1-26 deny
config access_profile profile_id 1 add access_id 7 ip tcp dst_port 5358 port 1-26 deny
config access_profile profile_id 1 add access_id 8 ip tcp dst_port 2879 port 1-26 deny
config access_profile profile_id 1 add access_id 9 ip tcp dst_port 5000 port 1-26 deny
create access_profile profile_id 2 ip udp dst_port_mask 0xFFFF
config access_profile profile_id 2 add access_id 1 ip udp dst_port 135 port 1-27 deny
config access_profile profile_id 2 add access_id 2 ip udp dst_port 137 port 1-27 deny
config access_profile profile_id 2 add access_id 3 ip udp dst_port 138 port 1-27 deny
config access_profile profile_id 2 add access_id 4 ip udp dst_port 139 port 1-27 deny
config access_profile profile_id 2 add access_id 5 ip udp dst_port 445 port 1-27 deny
config access_profile profile_id 2 add access_id 6 ip udp dst_port 5355 port 1-27 deny
config access_profile profile_id 2 add access_id 7 ip udp dst_port 3702 port 1-27 deny
create access_profile profile_id 5 ip udp src_port_mask 0xFFFF
config access_profile profile_id 5 add access_id auto_assign ip udp src_port 67 port 2-27 deny
config access_profile profile_id 5 add access_id auto_assign ip udp src_port 68 port 2-27 permit rx_rate no_limit
create access_profile profile_id 6 ip udp dst_port_mask 0xFFFF
config access_profile profile_id 6 add access_id auto_assign ip udp dst_port 68 port 2-27 deny
config access_profile profile_id 6 add access_id auto_assign ip udp dst_port 67 port 2-27 permit rx_rate no_limit
create access_profile profile_id 13 ethernet ethernet_type
config access_profile profile_id 13 add access_id 1 ethernet ethernet_type 0x806 port 1-27 permit rx_rate no_limit
create access_profile profile_id 14 ethernet destination_mac FF-FF-FF-FF-FF-FF
config access_profile profile_id 14 add access_id 1 ethernet destination_mac FF-FF-FF-FF-FF-FF port 1-27 deny
Имеются вланы. И default vlan.
DHCP сервер при данной конфигурации успешно работает в default vlan. Те DHCP сервера которые находятся во вланах, они не работают.
Они начинают работать только если удалить следующее правило:
create access_profile profile_id 14 ethernet destination_mac FF-FF-FF-FF-FF-FF
config access_profile profile_id 14 add access_id 1 ethernet destination_mac FF-FF-FF-FF-FF-FF port 1-27 deny
Правила расставлены согласно мануалу. Разрешающие выше, запрещающие ниже. Почему во Vlan DHCP не работают?
Кроме этого не нашел ответов в мануалах на некоторые вопросы.
1:
create access_profile profile_id 5 ip udp src_port_mask 0xFFFF
config access_profile profile_id 5 add access_id auto_assign ip udp src_port 67 port 2-27 deny
config access_profile profile_id 5 add access_id auto_assign ip udp src_port 68 port 2-27 permit rx_rate no_limit
Например в этом правиле мы не указываем конкретный влан, мы указываем только src_port и протокол. На какие вланы будет действовать данное правило? На все влан, или на default? Если только на default, то как сделать на все?
2:
Как одновременно с этим правилом:
create access_profile profile_id 14 ethernet destination_mac FF-FF-FF-FF-FF-FF
config access_profile profile_id 14 add access_id 1 ethernet destination_mac FF-FF-FF-FF-FF-FF port 1-27 deny
Можно разрешить PPoE и PPTP трафик для определенных влан?
Или можно ли как то сделать, что бы отдельный vlan вообще не потдавался ACL(например если у нас его арендуют)?
Спасибо!
|
Вход
Регистрация
FAQ
Поиск
