nixx писал(а):
я бы ответил вашей же подписью. "Внимательность!"
во-первых, ацльки совершенно не тождественны (почему вы пишете "тот же ACL"?), во-вторых, третьим аксесс-профилем вы блочите по маске 00-00... вообще все возможные маки.
А чем они не тождественны? Разница в 10 и 18 портов?
3200-10 A1
# Разрешаем работу IP и ARP потокола
create cpu access_profile profile_id 1 ethernet ethernet_type
config cpu access_profile profile_id 1 add access_id 1 ethernet ethernet_type 0x0800 port 1-9 permit
config cpu access_profile profile_id 1 add access_id 2 ethernet ethernet_type 0x0806 port 1-9 permit
Запрещаем 9000 Loopback (Configuration Test Protocol) и 86DD IP version 6
config cpu access_profile profile_id 1 add access_id 3 ethernet ethernet_type 0x9000 port 1-10 deny
config cpu access_profile profile_id 1 add access_id 4 ethernet ethernet_type 0x86DD port 1-10 deny
Запрещаем всё остальное
create cpu access_profile profile_id 2 ethernet source_mac 00-00-00-00-00-00
config cpu access_profile profile_id 2 add access_id 5 ethernet source_mac 00-00-00-00-00-00 port 1-9 deny
3200-18 C1
Разрешаем работу IP и ARP потокола
create access_profile profile_id 1 ethernet ethernet_type
config access_profile profile_id 1 add access_id 1 ethernet ethernet_type 0x800 port 1-17 permit
config access_profile profile_id 1 add access_id 2 ethernet ethernet_type 0x806 port 1-17 permit
Запрещаем 9000 Loopback (Configuration Test Protocol) и 86DD IP version 6
config access_profile profile_id 1 add access_id 3 ethernet ethernet_type 0x86DD port 1-17 deny
config access_profile profile_id 1 add access_id 4 ethernet ethernet_type 0x9000 port 1-17 deny
Запрещаем всё остальное
create access_profile profile_id 3 ethernet source_mac 00-00-00-00-00-00
config access_profile profile_id 3 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-17 deny
http://www.cavebear.com/archive/cavebea ... /type.htmlС другого свича DES-1210-28 B2/ME абоненты работают отлично
Код:
create access_profile ip udp src_port_mask 0xffff dst_port_mask 0xffff destination_ip_mask 255.255.255.255 profile_id 1
create access_profile ip tcp src_port_mask 0xffff dst_port_mask 0xffff destination_ip_mask 255.255.255.255 profile_id 2
create access_profile ethernet ethernet_type profile_id 3
create access_profile ethernet source_mac 000000000000 profile_id 4
config access_profile profile_id 3 add access_id 1 ethernet ethernet_type 0x0800 port 1-15,17-24 permit
config access_profile profile_id 3 add access_id 2 ethernet ethernet_type 0x0806 port 1-15,17-24 permit
config access_profile profile_id 3 add access_id 3 ethernet ethernet_type 0x86dd port 1-15,17-24 deny
config access_profile profile_id 3 add access_id 4 ethernet ethernet_type 0x9000 port 1-15,17-24 deny
config access_profile profile_id 4 add access_id 1 ethernet source_mac 00-00-00-00-00-00 mask 00-00-00-00-00-00 port 1-15,17-24 deny
config access_profile profile_id 1 add access_id 1 ip udp src_port 68 src_port_mask 0xffff dst_port 67 dst_port_mask 0xffff destination_ip 255.255.255.255 destination_ip_mask 255.255.255.255 port 1-15,17-24 permit
config access_profile profile_id 1 add access_id 2 ip udp destination_ip 255.255.255.255 destination_ip_mask 255.255.255.255 port 1-15,17-24 deny
config access_profile profile_id 2 add access_id 1 ip tcp src_port 68 src_port_mask 0xffff dst_port 67 dst_port_mask 0xffff destination_ip 255.255.255.255 destination_ip_mask 255.255.255.255 port 1-15,17-24 permit
config access_profile profile_id 2 add access_id 2 ip tcp destination_ip 255.255.255.255 destination_ip_mask 255.255.255.255 port 1-15,17-24 deny
enable cpu_interface_filtering
_________________
Внимательность! Это было на букву "Э"!
Код:
DES/DGS-3200-XX(A1/B1/C1), DGS-3627G(A1), DGS-3426(A1), DGS-3120-24SC(A1/A2/B1), DES-1210-28/ME(B2/B3)