Подскажите пожалуйста, как написать аксес лист для DES-3028 так, чтобы он разрешал только два типа ETh пакетов PPPoE discovery и PPPoE session ...или хотя бы подскажите как разрешить что-либо, а остальное запретить? Просто так получается, что по умолчанию в конце AcL стоит разрешить всё и можно написать только запрещение чего либо, а не разрешение...А чтоб запретить все остальные нужно прописывать запрет всех типов, а их мягко говоря много

Вообщем помогите Ооочень необходимо... Мануал смотрела - ничего не нащла

Попробуйте почитать вот это материал. Это поможет Вам разобраться в написании ACL такого типа http://www.dlink.ru/technical/faq_hub_switch_90.php
http://www.dlink.ru/technical/faq_hub_switch_115.php

С помощью второй ссылки вроде поняла...то есть следует написать второй профиль с нулевой маской offset_16-31 0x0 0x0 0x0 0x0 ... и в правиле написать тоже offset_16-31 0x0 0x0 0x0 0x0 ...тогда совпадение будет всегда и отбрасываться по идее должны все пакеты не попавшие под первое правило...но тут вот ещё проблема ...почему-то не получается создать 2 профиля... Только один

Приведите последовательность как Вы это делаете пожалуйста.

create access_profile packet_content_mask offset_16-31 0xffff0000 0x0 0x0 0x0 profile_id 1
config access profile profile_id 1 add access_id 1 packet_content offset_16-31 0x88630000 0x0 0x0 0x0 port 1-24 permit
config access profile profile_id 1 add access_id 2 packet_content offset_16-31 0x88640000 0x0 0x0 0x0 port 1-24 permit

Это для разрешения двух типов Eth, а теперь по идее нужно запретить всё остальное... только в этом же профайле из-за прописанной маски придётся запрещать каждый тип в отдельности...судя по ссылке можно написать ещё один профайл... С нулевой маской и запрещать все совпадения с 0x0 0x0 0x0 0x0 то есть всё...Только это сделать почему-то не получается

Укажите вместо номера правила параметр auto_assign. Вы же создали первые 24 правила. У Вас access_id закончился на 24, а Вы пытаетесь второй командой создать правила начиная с access_id 2.

Тогда так
create access_profile packet_content_mask offset_16-31 0xffff0000 0x0 0x0 0x0 profile_id 1
config access profile profile_id 1 add access_id 1 packet_content offset_16-31 0x88630000 0x0 0x0 0x0 port 1-24 permit
config access profile profile_id 1 add access_id auto assign packet_content offset_16-31 0x88640000 0x0 0x0 0x0 port 1-24 permit

Только невозможность создания второго профайла ...не правила, а профайла...это не решает

Чтобы запретить всё остальное дальше нужно что-то типа
create access_profile packet_content_mask offset_16-31 0x0 0x0 0x0 0x0 profile_id 2
config access profile profile_id 1 add access_id 1 packet_content offset_16-31 0x00000000 0x0 0x0 0x0 port 1-24 deny
Этот профиль по идее должен применятся в случае невыполнения условия 1 правила и запрещать всё остальное...А создать вообще какой-либо второй профиль не получается...Он пишет профиль уже создан...По идее есть вообще возможность создания двух профилей для одного и того же порта, которые бы применялись последовательно...один не выполнился - применяем другой?

совершенно верно

значит он уже создан. удалите и создайте по новой.

_________________
LiveComm

Проблема в следующем. Свич 3028. На 24 порту свича висит компьютер с открытым 9008(0x2330) портом. Нужно, чтобы компьютеры 1-4 портов не смогли видеть 9008 порт этого компьютера. Пишу следующее согласно мануалу:

create access_profile packet_content_mask offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 1
config access_profile profile_id 1 add access_id auto_assign packet_content offset 40 0x23300000 port 1-4 deny

И всёравно они могут видеть этот порт.
Через CPU Interface Filtering Table делал

create access_profile ip tcp dst_port_mask 0xffff profile_id 1
config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 9008 port 1-4 deny,

но там правило запрета распространяется только на расшаривание 9008.

И есть ли такая возможность в ACL, чтобы например на 5-м порту свича компьютер с ip 172.16.203.xxx тоже не смог увидеть 9008.

Boot PROM Version Build 1.00-B04
Firmware Version Build 1.00-B32
Hardware Version 1A1G

Заранее блгодарен.

Пожалуйста обновите прошивку на ту что я Вам выслал. Вы точно в пакете правильно определили offset для destination port? Покажите как вы считали?

Прошивку обновил через tftp до Build 1.03-B16. По мануалу http://www.dlink.ru/technical/faq_hub_switch_90.php порт указывается на 40-41 offset. А так я даже не имею представления как разобрать arp пакет.

Обсуждалось уже на форуме... В 3028 другая логика работы ACL packet content по сравнению с 3526: в 3526 все пакеты тегированные независимо от настроек порта, а в 3028 - как раз в зависимости от них. Т.е. если ACL стоит на нетегированном порту, то и правила нужно без учета тэгов в пакете писать...

только один порт тегирован. остальные нет. но ни на одном(по отдельности проверял) не хочет работать. пробовал и на 2 и на 6 байтов сдвигать(влево и вправо) - всёравно не получается.

а можно пример для тегированного и нетегированного портов для 3028?

Почему 2 и 6? На 4 байта влево сдвинуть попробуй.

в других ветках так писалось. сегодня вечером попробую