На порту 3 создана vlan (vlan302) с IP интерфейсом 192.168.3.200 - к этому порту подключена сеть 192.168.3.0/24 , есть сервер 192.168.0.1 - подключен на порт 28, к другим портам коммутатора подключены адреса из сети 192.168.0.0/24

Задача: разрешить доступ из сети 192.168.3.0/24 только на адрес 192.168.0.1, а адресу 192.168.0.1 разрешить доступ на все порты

Что делаю:

1.Create access_profile ip source_ip_mask 255.255.255.0 destination_ip_mask 255.255.255.255 profile_id 1
а.Config access_profile profile_id 1 add access_id 1 ip source_ip 192.168.3.0 destination_ip 192.168.0.1 port 3 permit
б.Config access_profile profile_id 1 add access_id 2 ip source_ip 192.168.3.0 destination_ip 192.168.3.200 port 3 permit

2.Create access_profile ip source_ip_mask 255.255.255.255 profile_id 2
а.Config access_profile profile_id 2 add access_id 1 ip source_ip 192.168.0.1 port 1-28 permit

3. Create access_profile ip profile_id 3
а.Config access_profile profile_id 3 add access_id 1 ip port 3 deny

Я по правильному пути иду ?

Всё правильно за исключением последнего профиля.

create access_profile ip source_ip_mask 0.0.0.0 destination_ip_mask 0.0.0.0 profile_id 3
config access_profile profile_id 3 add access_id 1 ip source_ip 0.0.0.0 destination_ip 0.0.0.0 port 3 deny

Кстати второй профиль можно назначить только на порт 28.

т.е. насколько я понимаю адресу 192.168.0.1 доступ на порт 3 не нужен, он взаимодействует с сетью 192.168.3.0/24 через ip интерфейс коммутатора (в этой подсети это 192.168.0.200), который для него является шлюзом

а вообще всегда надо указывать и ip_source и ip_destination ? (это применительно к профилю 3)

В принципе не обязательно можно просто указать source в этой ситуации.