Доброго времени суток.
Купил 3627 и решил поставить на нем для начала эксперементы...Видоизменил правила, которые описаны здесь http://forum.dlink.ru/viewtopic.php?t=52529
до вида:
create access_profile profile_id 1 ip source_ip_mask 255.255.0.0 destination_ip_mask 255.255.0.0
config access_profile profile_id 1 add access_id auto_assign ip source_ip 10.0.0.0 destination_ip 10.0.0.0 port 20 permit
create access_profile profile_id 2 ip source_ip_mask 255.255.255.255 destination_ip_mask 0.0.0.0
config access_profile profile_id 2 add access_id auto_assign ip source_ip 10.0.1.200 destination_ip 0.0.0.0 port 20 deny
На 20 порту стоит машина с ip 10.0.10.111, машина с ip 10.0.1.200 воткнута в другой порт. Так вот если на машине 10.0.10.111 спробить ip 10.0.1.200, то начинаются конфликты на обеих машинах....Подскажите в чем бок. Прошивка на коммутаторе Firmware Version : Build 2.20-B35.
Заранее благодарен за ответ.

ну так вы и не запретили ничего что бы предотвратить конфликт

вы фильтруете по L3 признакам, а конфликт возникает на уровне L2

тем более вы первым правилом отменяете второе для этого айпи,
поменяйте их местами, но имхо это не поможет, даже наверное разрешающее правило не нужно будет если вы его использовали только для этих целей.

Самое интересное что пробовал и просто запрет ставить и местами правила менять- эфект нулевой. Может я чего не догоняю, но препробовал кучу вариантов.

http://dlink.ru/technical/faq_hub_switch_115.php

я думаю это как раз то что вам нужно

плюс попробуйте такое правило если вам будет проще

create access_profile ip source_ip_mask 255.255.255.255 profile_id 1
config access_profile profile_id 1 add access_id auto_assign ip source_ip 10.0.10.111 port 20 permit

create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 2
config access_profile profile_id 2 add access_id auto_assign ethernet source_mac 00-00-00-00-00-00 port 20 deny


на самом деле если бы вы точно сказали что вам нужно, можно было бы более точно ответить )

я все доки перечитал, но собственно мне нужно просто ограничить доступы на порты 5-20 ip 10.0.0.1/255.255.255.248. Пробовал писать правила по-разному. Просто до этого писал правила в iptables на серваках, а тут видно логику свича недопонимаю. Если не сложно, подскажите че не так делаю

#создаем правило для адресов с адресами источника с 10.0.0.0 по 10.0.0.7 и адресами назначения с 10.0.0.0 по 10.0.0.7
create access_profile profile_id 1 ip source_ip_mask 255.255.255.248 destination_ip_mask 255.255.255.248

#разрешаем для адресов с 10.0.0.0 по 10.0.0.7 обмениваться между собой пакетами на портах с 5 по 20
config access_profile profile_id 1 add access_id auto_assign ip source_ip 10.0.0.0 destination_ip 10.0.0.0 port 5-20 permit

#создаем правило для адресов с адресами источника с 10.0.0.0 по 10.0.0.7 и адресами назначения 0.0.0.0 (куда угодно)
create access_profile profile_id 2 ip source_ip_mask 255.255.255.248 destination_ip_mask 0.0.0.0

#запрещаем для адресов с 10.0.0.0 по 10.0.0.7 обращаться на любые адреса, кроме указанных выше в профиле1, на портах с 5 по 20
config access_profile profile_id 2 add access_id auto_assign ip source_ip 10.0.0.0 destination_ip 0.0.0.0 port 5-20 deny

vnv, то что написано выше будет работать только в том случае если
10.0.0.1/255.255.255.248 находится за портами 5-20

главный принцип работы ACL это то что оно работает для ВХОДЯЩЕГО траффика на порту к которому привязано

поэтому если вам нужно запретить хождение от 10.0.0.1/255.255.255.248
на порты 5-20 то это нереально, ибо признака port в acl нет.

придумайте другие критерии, желательно по признакам присутсвующим в ACL.

а вообще если вы более подробно приведете схему то может быть мы сможет вам помочь)

Собственно говоря, ситуация в том что абоненты находятся в портах 5-20, а сервера находятся в портах 1-4...Так все это телодвижение для того, чтобы если юзер ставит себе ip 10.0.0.1 или какой-либо из ip серваков, то на серваках это ни коим образом не отражалось и абонента дальше свича не пропускало. Вот суть задумки...Привязку MAC-IP делать пока нет желания.

#создаем правило для адресов с адресами источника с 10.0.0.0 по 10.0.0.7 и адресами куда угодно
create access_profile profile_id 1 ip source_ip_mask 255.255.255.248

#запрещаем для адресов с 10.0.0.0 по 10.0.0.7 обращаться на любые адреса, на портах с 5 по 20
config access_profile profile_id 2 add access_id auto_assign ip source_ip 10.0.0.0 port 5-20 deny

вот все что вам нужно.

но мне кажется арп пакет сообщающий что я такой то и такой то всеравно пройдет поэтому имеет смысл почитать это:

http://dlink.ru/technical/faq_hub_switch_115.php

а еще можно сервера заизолировать vlan или traffic segmentation

_________________
С уважением,
Бигаров Руслан.

Всем огромное спасибо за информацию- теперь сделаю.