приветствую !

DGS-3000-10TC, аппаратно позволяет создать лишь один ip профиль для ACL (при создании второго - ругается, что кончились аппаратные ресурсы).

вопрос такой: как создать, внутри одного профиля, правила с разной маской сети ?

например, как сделать разрешение для сети (src ip) 192.168.2.0/24 из vlan_id 2 на порту 1 и разрешение для адреса 192.168.3.15 (маска /32) из vlan_id 3 на порту 5 (а всё остальное на портах 1,5 в соответствующих vlan запретить), корректна ли будет такая настройка:

create access_profile profile_id 102 ip vlan source_ip_mask 255.255.255.255
config access_profile profile_id 102 add access_id 2 ip vlan_id 2 source_ip 192.168.2.0 mask 255.255.255.0 port 1 permit
config access_profile profile_id 102 add access_id 3 ip vlan_id 3 source_ip 192.168.3.15 mask 255.255.255.255 port 5 permit
config access_profile profile_id 102 add access_id 12 ip vlan_id 2 port 1 deny
config access_profile profile_id 102 add access_id 13 ip vlan_id 3 port 5 deny

?


если не указать в create access_profile profile_id параметр source_ip_mask, то в правилах не даёт указать маску.

а если указать create access_profile как в примере выше - даёт указать разную маску в "config access_profile profile_id 102 add access", но тогда зачем нужно значение в параметре source_ip_mask если мы в add access и так и так указываем полную маску (или эта полная маска в mask ещё будет побитно "and" с source_ip_mask ?) ??

если брать create access_profile как в примере выше, но в "config access_profile .. add access.." вообще не указывать "mask", то это будет равнозначно "mask 255.255.255.255" или наоборот равнозначно "mask 0.0.0.0" (т.е. правило разрешит весь трафик в этой vlan_id на порту) ?

да, можно было бы "методом тыка" попробовать все варианты и проверить какой синтаксис как блокирует трафик, но хотелось бы ссылку на документацию/FAQ