И так имеем оборудование в дырке 1 - ADSL концентратор (mac, к примеру, 00:a0:c0:b0:d0:ee) и 2 - PC.

На свиче прописываем ACL:

create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF profile_id 1
config access_profile profile_id 1 add access_id 1 ethernet destination_mac 01-80-c2-00-00-21 port 1 deny

Наколько я понимаю - этим правилом я запрещаю прохождение пакетов на mac 01-80-c2-00-00-21 или я не прав?

На практике же я с компа во второй дырке вижу этот трафик, помимо этого на свиче командой show error ports 1 в строке Drop Pkts не наблюдаю дропнутых пакетов.

Насколько я помню, если пакет попадает под запрещающее правило в ACL - то он должен отображаться в Drop Pkts.


Поскольку выше изложенное решение не работает - то я поступаю немного по другому:

create access_profile ethernet source_mac ff-ff-ff-ff-ff-ff profile_id 2
config access_profile profile_id 2 add access_id 1 ethernet source_mac 00:a0:c0:b0:d0:ee port 1 deny

И я опять на втором порту наблюдаю трафик с 1-го порта на mac 01-80-c2-00-00-21 и в строке Drop Pkts пакетов не прибавляется...

Чего я не знаю или где я не правильно делаю?

Версия прошивки свича:
Firmware Version : Build 4.01-B36

Фильтруется только входящий трафик. Если Вы хотите запретить доступ с порта 2 скажем на порт ADSL-роутера на определённый MAC-адрес то это правило надо применять на порт источник.

Если я правильно понимаю природу вещей, то 01-80-c2-00-00-21 - специфичный мультикаст-адрес, используемый протоколом GVRP.
К сожалению (хотя для кого-то наоборот, к большому счастью) gvrp-трафик "идёт мимо" ACL-фильтров. Так что увы: "резать" такие пакеты приходится совсем другими способами.

Так его я и пытался отфильтровать. В первом случае по получателю (destination), а во втором случае по отправителю (source).

Причиной не срабатывания правил стало это:



Обсолютно верно, но что интересно PC определяет этот трафик как STP... И теперь не знаю что мне думать...




А вот где и ПРОБЛЕМА. Спасибо за наводку!

И сразу же вопрос - а какой ещё трафик проходит мимо ACL? Дабы не попасть в очередной раз в просак...



Прошу прощение за наглость, не поделитесь секретом, как их можно отфильтровать?

Например DHCP Relay. Прошу прощения не посмотрел внимательно на адрес. Для фильтрации BPDU пакетов используется функция FBPDU. По идее она должна действовать и на эти пакеты. Зачем филтровать BPDU я понимаю, а вот зачем фильтровать GVRP если он отключён на устройствах не совсем.

Больше нету?



А как до неё можно добраться через командную строку?



Фишка в том что оно не отключается....
Zyxel IES-1000 - имеет два режима работы - fast & normal в fast режиме он так как нам хотелось не заработал а в режиме normal - у него включен GVRP...

1) GVRP, STP и DHCP Relay это пожалуй основное.
2) config stp ports fbpdu enable/disable если по памяти не ошибаюсь.
3) Да уж... Попробуйте FBPDU.

Благодарю за ответы.

И ещё один момент: FBPDU - а как это расшифровывается?

Forwarding BPDU.

Ещё (кроме вышеперечисленного) мимо ACL (если не ошибаюсь) "пролетают" IGMP-пакеты (при глобально разрешённом IGMP-snooping)

Я извиняюсь, то сейчас пишу, сам я не проверял, но перво-наперво я бы попробовал порешать проблему "в лоб": запретить на первом порту коммутатора прослушивание GVRP:
config gvrp 1 state disable
Чем чёрт не шутит - а вдруг да поможет?

В реале мы имеем два зюхеля в 7 и 8 дырках.

И так:



Сделал команду:
conf stp ports 7 disable

Command: show stp ports 7
MSTP Port Information
----------------------
Port Index : 7 , Hello Time: 2 /2 , Port STP enabled LBD : No
External PathCost : Auto/200000 , Edge Port : False/No , P2P : Auto /Yes
Port Forward BPDU disabled

Msti Designated Bridge Internal PathCost Prio Status Role
----- ------------------ ----------------- ---- ----------- ----------
0 N/A 200000 128 Forwarding NonStp

Для сравнения я сделал:
Command: show stp ports 8

MSTP Port Information
----------------------
Port Index : 8 , Hello Time: 2 /2 , Port STP enabled LBD : No
External PathCost : Auto/200000 , Edge Port : False/No , P2P : Auto /Yes
Port Forward BPDU disabled

Msti Designated Bridge Internal PathCost Prio Status Role
----- ------------------ ----------------- ---- ----------- ----------
0 N/A 200000 128 Forwarding NonStp


Похоже что Port Forward BPDU disabled стоит по умолчанию.



config gvrp 7 state disable

DES-3526:4#sh gvrp 7
Command: show gvrp 7

Global GVRP : Disabled

Port PVID GVRP Ingress Checking Acceptable Frame Type
------ ---- -------- ---------------- ---------------------------
7 1 Disabled Enabled All Frames

Total Entries : 1

DES-3526:4#sh gvrp 8
Command: show gvrp 8

Global GVRP : Disabled

Port PVID GVRP Ingress Checking Acceptable Frame Type
------ ---- -------- ---------------- ---------------------------
8 1 Disabled Enabled All Frames

Total Entries : 1

И тут по умолчанию всё отключено.....

И я к сожалению продолжаю наблюдать трафик на сервере
Source Destination Protocol Size CPS
00:a0:c5:46:a7:3c 01:80:c2:00:00:21 sap-42 300 13

Получается что такой трафик зафильтровать не реально?

STP должно быть включено, а FBPDU выключено. Так не работает?

Глобально STP выключено. Если я сделаю enable STP - мне это боком ни где не вылезет? Всё что касается настроек STP - все по умолчанию - эту функцию ещё не использовал...

Да, и ещё попробуйте GVRP разрешить глобально:
enable gvrp
(а локольно на порту пусть останется disable)