Вопрос к представителям компании D-Link: есть ли более-менее развёрнутая документация на фильтры (access profile) для коммутатора DGS-3312SR? В первую очередь интересуют следующие моменты:
1. Применяются ли фильтры только к входящим на порты пакетам? Возможно ли применение фильтров к исходящим из порта пакетам?
2. Как изменяется производительность коммутации пакетов при наличии на порту нескольких фильтров?
3. Применяются ли фильтры только к коммутируемым пакетам? Или и к маршрутизируемым тоже?
4. Какие есть ограничения на число фильтров и правил в фильтре?
5. Будет ли access profile, созданный как create access_profile ip destination_ip_mask 255.255.0.0 port 15:1-15:3 profile_id 50 применятся к пакетам на всех vlan, имеющихся на данных портах, и будет ли он применяться к нетегированным пакетам?
6. Все ли типы фильтров можно применять для broadcast и multicast пакетов?

1. Только для входящих пакетов (имеется ввиду со стороны свича входящие)
2. Никак, ACL поддерживаются при помощи ASIC микросхем и нагрузку практически не создают.
3. Это как настроете правила, какие параметры будет коммутатор проверять - MAC адреса или IP адреса и порты
4. 9 профилей, 50 правил для данного устройства.
5. Если явно не указываете в профиле VLAN.
6. См. ответ на вопрос 3

_________________
С уважением, Карагезов Владислав

Спасибо за информацию.
Правильно ли я понял, что для фильтров нет разницы между unicast, broadcast и multicast MAC-адресами, и что они обрабатываются абсолютно одинаково?

разница только в настройках - какие параметры зададите - так сивч фильтровать и будет

_________________
С уважением, Карагезов Владислав

Не стал создавать отдельную тему...
Мне необходимо разрешить ходить TCP-пакетам на порты 1024-65535
Как это сделать через маску порта понять не смог, для одного порта понятно - 0xffff...

Второй вопрос - ACL применяется ко всем пакетам или только к тем, которые ходят через IP-интерфейсы?

железка DES-3326S с последней прошивкой

[quote="Lin_"]Не стал создавать отдельную тему...
Мне необходимо разрешить ходить TCP-пакетам на порты 1024-65535
Как это сделать через маску порта понять не смог, для одного порта понятно - 0xffff...

Второй вопрос - ACL применяется ко всем пакетам или только к тем, которые ходят через IP-интерфейсы?
1. Пример настройки маски ушел по почте.
2. ACL применяется ко всем пакетам.

_________________
С уважением, Карагезов Владислав

Спасибо, письмо получил. Примерно так я себе это и представлял, только не мог найти подтверждения, а проверять под нагрузкой не очень хотелось (:
Если кому интересно, то маска для диапазона 1024-65535 получается 0x400

Теперь по второму пункту...т.е. если я хочу использовать некоторые порты как обычный свитч, то мне надо добавлять правило
create access_profile ip source_ip_mask 255.255.255.0 destination_ip_mask 255.
255.255.0 profile_id 1 permit
config access_profile profile_id 1 add access_id 1 ip source_ip 10.10.10.0 des
tination_ip 10.10.10.0
, т.к. в конце списка, после других разрешений (telnet, web, irc, etc) у меня стоит deny
или есть более красивое решение?

если в конце правило по умолчанию - deny то конечно перед ним нужно прописать все, что разрешено
в принципе, ничего нового, обычная логика работы межсетевых экранов

_________________
С уважением, Карагезов Владислав

Просто для меня непривычно иметь возможность фильтровать пакеты в одной подсети - опыт только с soft-роутерами (FreeBSD), соответственно и логика такая же.
Спасибо за быстрые ответы, тему, наверное, можно закрывать