Ситуация такая:
ядро Cisco 7604(инет), далее DGS3627, к нему подключены DES3028, к ним уже пользователи...
Требуется:
ограничить всякий доступ к DES3028 со стороны пользователей(одна подсеть), со стороны инета(другая подсеть),имеется сеть офиса(то есть еще подсеть),но оставить доступ определенным адресам.
Подскажите как это лучше реализовать используя ACL.
И еще, вышлите пожалуйста инфо по CPU Interface Filtering и ACL в целом.
Спасибо.

Неужели никто не может ответить

Ищем в мануале пункты про trusted host/network

Получается так,я указываю доверенный адрес или адреса из подсети офиса,предположим моей машины, с которой я получаю доступ по telnet к этому свичу(он находится в другой подсети) или любой другой адрес с которого я планирую попасть на свич и собственно попадаю на него,но из другой подсети(машин юзеров),увидеть этом свич не получиться,правильно понял?ping и т.п в том числе?

Очень прошу прокомментируйте, требуется скорая конфигурация свичей.

Получается по умолчанию все адреса разрешены,задаешь адреса доверенные и ходишь с них,т.е что не разрешено,то запрещено?!
Или я что не правильно понимаю?
Почему допустим не использовать CPU Interface Filtering?

Совершенно верно.
По поводу ping точно не помню, ИМХО, тут нужно использовать Cpu Filtering

Хорошо,я понял тебя,вот по поводу CPU Interface Filtering,где подробнее почитать?

В описании Trusted host по поводу icmp ничего не указано,то есть будет ли свич отвечать на ping к примеру от умного пользователя?!
Конечно от такого удовольствия пользователь или любой другой(кроме доверенных) должен быть избавлен.

будет. если хочется, что бы не отвечал, надо пользовать CPU Interface Filtering

а вывести интерфейс свича в отдельный влан нереал чтоли?

Я все же не понимаю,какой смысл тогда использовать Trusted host?!
Моя задача сделать так,чтобы не один любопытный пользователь даже не смог увидеть этот свич, не говоря уже о другом.
Как я понял Trusted host и CPU Filtering нужно использовать совместно?!

Если не сложно,в чем преимущество предложенного тобой метода?Объясни плиз,буду благодарен.
Вынесение в отдельный влан возможно конечно,но немного затруднительно для нашей сети,потребуется вносить изменения в конфги ядра и т.д. не хотелось бы отступать от концепции сети,во избежании путаници.