Здравствуйте!
Помогите пожалуйста разобраться с ACL на 3526 + может быть подкиньте идей, как лучше всё это реализовать

Цель - доступ в сеть через коммутатор только тех ip, которым это разрешено.
+ При этом неизвестно, на каком они могут быть порту.
+ всем, кому доступ перекрыт, необходимо всё же дать доступ к web & dns.


1) В новых прошивках необходимо указывать порт, примерно так: "config access_profile ... port 1-24 deny"
Поскольку неизвестно точно, на каком порту находится абонент, нужно указывать все 24 порта. Если на каждый порт по одному ip,
выходит 24*24 = 576 правил, по 24 на каждый порт. Это уже почти впритык, максимум ведь - 800 правил. А если на нескольких портах
будет более одного клиента, допустим, 35 ip на свитче, правила уже не влезут ;(
Можно как-нибуть это обойти, например, задавать правила не для каждого порта, а сразу для всех, чтобы одно правило было ОДНИМ правилом на все порты, а не на каждый по персональному? Надеюсь, не слишком непонятно выразился

2) Вопрос по самим ACL.
Пробую на тестовом свитчике пустить всех на ip 192.168.0.3 и закрыть всё остальное:

Разрешил ip-пакеты на 192.168.0.3 и разрешил arp. Но после создания запрещающего правила - блокируется всё, и к 192.168.0.3 доступа нет ;(
Тыкните пожалуйста в ошибку...

3) Вопрос к тем, у кого подобные схемы работают. Как Вы удаляете разрешающие правила при блокировке пользователя? Нужно знать их id, это не iptables, где можно удалить правило по описанию... В принципе, можно было бы в качестве ID брать что-нибуть из параметров пользователя в билинге, НО в данном случае правило для каждого ip не одно, а 24 ;(
Ещё вопросик: ограничено ли значение access_id? Т.е. можно ли туда пихать, например, 4-5-6-значное число?

Благодарю за потраченное время.

p.s. Firmware Version : Build 5.01-B09

По порядку:

1) Задать правила без привязки к портам нельзя. Можно указать например подсеть по маске.
2) А почему вы в профиле не указали udp или tcp и destination_port_mask?

create access_profile ip udp destination_ip_mask 255.255.255.255 dst_port 0xFFFF profile_id 1
config access_profile profile_id 1 add access_id auto_assign ip udp destination_ip 192.168.0.3 udp dst_port 53 port 1-24 permit
create access_profile tcp udp destination_ip_mask 255.255.255.255 dst_port 0xFFFF profile_id 2
config access_profile profile_id 2 add access_id auto_assign ip tcp destination_ip 192.168.0.3 dst_port 80 port 1-24 permit

Опять же если Вы хотите разрешить весь трафик то просто разрешите IP-трафик на этот хост:

create access_profile ip destination_ip_mask 255.255.255.255 profile_id 1
config access_profile profile_id 1 add access_id auto_assign ip destination_ip 192.168.0.3 port 1-24 permit

3) И затем уже остальные правила.

...и ещё:
во втором профиле вы разрешаете прохождение ТОЛЬКО широковещательных ARP-пакетов. А этого недостаточно. Пример: клиент когда получает ARP-запрос (от сервера например) "Who has х.х.х.х? Tell у.у.у.у", то он отвечает уникастным ARP-ответом, который не удовлетворяет правилу второго вашего профиля и поэтому блокируется в 200-ом профиле. Естественно, что нормально так оно работать не будет...

После блокировки появляются записи 192.168.0.3 в arp-таблице, но связи с ним нет...

Уточните пожалуйста, к каким портам коммутатора подключены хост 192.168.0.3 и тестовая машина?

И, кстати, 200ый профайл у вас запрещает не ВСЁ, а только IP (ethernet type=0x800)

Всем огромное спасибо, я разобрался. Простите за беспокойство по пустякам.