Есть вот такая схема:

|
|
port 25
|
|3526|--port 26--------
|
port 24
|
port 9
|
|2110|--port 9----------

(ну не художник я)

3526-й подключен через оптику 25-м и 26-м портами.
к нему же через 24-й порт подключен 2110-й.
2110-й подключен к 3526-му через 9-й порт, во 2-й порт включен клиент.
Все перечисленные порты, кроме 2-го на 2110 - транковые (tagged).
Имеется 2 вилана: 31-й - для управления/мониторинга железом (адресация 192.168.31.0/24) и 235-й - для подключения клиентов
(10.235.0.0/16).
На 3526-м с помощью ACL я легко могу запретить клиенту, подключенному, например, к 10 порту, поменять свой IP-адрес (т.е. разрешив трафик только с одного адреса).
На 2110-м я этого сделать не смогу.
Вопрос такой - как с помощью ACL для 24-го порта закрыть все IP-адреса из 235-го вилана, кроме того, который должен быть у клиента?
Или может есть какое другое решение?
(надо учитывать, что у клиента может быть несколько MAC-адресов, читай, компьютеров. и вообще, не хотелось бы завязываться на клиентское железо)

какое-то решение я вроде как нашел........
если создать два профиля в начале. первый поадресно разрешает IP адреса, второй запрещает все с 16-й маской....
тут это будут правила 6 и 7
(все остальные я у Helios-а тут на форуме позаимствовал - спасибо ему, кстати!)


create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type profile_id 4
config access_profile profile_id 4 add access_id 1 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x800 port 1 deny

create access_profile ip tcp dst_port_mask 0xFFFF profile_id 5
config access_profile profile_id 5 add access_id 1 ip tcp dst_port 135 port 1-26 deny
config access_profile profile_id 5 add access_id 27 ip tcp dst_port 137 port 1-26 deny
config access_profile profile_id 5 add access_id 54 ip tcp dst_port 138 port 1-26 deny
config access_profile profile_id 5 add access_id 80 ip tcp dst_port 139 port 1-26 deny
config access_profile profile_id 5 add access_id 106 ip tcp dst_port 445 port 1-26 deny

create access_profile ip source_ip_mask 255.255.255.255 profile_id 6
config access_profile profile_id 6 add access_id 1 ip source_ip 10.235.0.11 port 24 permit
config access_profile profile_id 6 add access_id 2 ip source_ip 10.235.0.16 port 24 permit

create access_profile ip source_ip_mask 255.255.0.0 profile_id 7
config access_profile profile_id 7 add access_id 1 ip source_ip 10.235.0.0 port 24 deny

create access_profile ethernet ethernet_type profile_id 8
config access_profile profile_id 8 add access_id 1 ethernet ethernet_type 0x800 port 24-26 permit
config access_profile profile_id 8 add access_id 4 ethernet ethernet_type 0x806 port 24-26 permit

create access_profile ip source_ip_mask 255.255.255.255 profile_id 10
(тут привязка IP-адресов к портам на 3526-м)

create access_profile ip source_ip_mask 0.0.0.0 profile_id 100
config access_profile profile_id 100 add access_id 1 ip source_ip 0.0.0.0 port 1-26 deny

create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 220
config access_profile profile_id 220 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-26 deny


Больше 2-х 2110-х на один порт 3526-го цепляться не будут. Так что, НАВЕРНОЕ, проблем с количеством правил не будет. Ну это я так думаю.

Короче, хотелось бы ваше мнение узнать, насколько я правильно подошел к решению задачи.
Спасибо

Если бы у Вас был у пользователя один неизменный MAC, то можно было бы применить функцию IP-MAC-Port Binding - можно указать несколько IP на один MAC. Так как указать несколько MAC-ов на один IP нельзя, то ход мыслей в принципе правильный

А вот практика показала, что, может в приципе он и правильный, но в деталях - не совсем.
Когда клиент включается, сети он не видит.
Естественно, для клиента все прописано, все адреса и порты - какие нужно.
Стоит только мне руками прибить 220-й профиль и тут же его заново завести, как клиент видит сеть и работает в ней (с заново заведенным 220-м профилем - тем же самым) (видно по пингам - они появляются сразу по прибитии 220-го профиля и уже дальше не пропадают до выключения/перезагрузки клиентской машины).
Что тут не так?
Если я правильно понял мануал, профили просматриваются в порядке возрастания их profile_id.
Т.е. если я завел сначала 220-й, потом 5, первым отработает 5-й.....
Короче, не пойму, где собака порылась....
Прошу хелпа......

(Блин....Хороший у меня тред - сам спрашиваю - сам отвечаю)
Тут появилась такая информация, что ACL на основе поля Ethernet работают быстрее, чем на основе IP......
(А в мануале я не нашел упоминаний о том, что есть что-то еще, кроме profile_id, что задает порядок выполнения профилей!)
Все, конечно, замечательно.....
НО!
Как мне, в таком разе, запретить все не IP, и при этом сохранить правила для IP???? Естестенно, чтобы последние работали, причем сами??????

Нет, если вы зададите IP-правила то они как раз будут действовать по порядку в соответствии с номером

Тогда внесите в мануал информацию о том, что сначала выполняются ACL на основе поля Ethernet по возрастанию profile_id, потом ACL на основе IP....
А то кто-нить вроде меня так и решит, что profile_id является единственным признаком, определяющим порядок выполнения.