Так как на порту 3526 не порезать скорость с шагом ниже 1 мегабита.... возникла следущая проблема.

Вся сеть построена на 3526, один порт - один абонент.
Необходимо при отсутствии денег на счету клиента блокировать его работу в сети.

Отключение порта отпадает. Остается - разрешение ему работать только с сервером.

тоесть необходимо например 17 порт коммутатора 10.0.84.1 и порт 05 коммутатора 10.0.84.2 перенаправлять на порт 01 коммутатора 10.0.0.1
где находиться сам сервер с биллингом. Все коммутаторы в одной подсети. Но надо сделать так что бы они могли общаться только с сервером который висит на порту 01 10.0.0.1 и не могли при этом видеть друг друга....

можно ли такое организовать?

либо ACL либо переводить в другой vlan.

вам нужно только чтобы видели какой либо порт и все что за ним?
тогда еще может быть вам поможет traffic_segmentation

ACL правило - source_ip -> destination_ip

тоесть как в факе:

# Настройте разрешающее правило для IP-адреса 192.168.1.1/24
create access_profile ip source_ip_mask 255.255.255.255 profile_id 10
config access_profile profile_id 10 add access_id 1 ip source_ip 192.168.1.1 port 5 permit
# Настройте запрещающее правило для всех остальных IP-адресов
create access_profile ip source_ip_mask 0.0.0.0 profile_id 20
config access_profile profile_id 20 add access_id 2 ip source_ip 0.0.0.0 port 5 deny

теперь если я такое правило сделаю, комп клиента сможет общаться только с сервером 192.168.1.1? и если таких клиентов будет много, то они не смогут ничего видеть кроме сервера? Самое главное что бы они друг друга не не видели через сервер...

я все правильно понял ?

этими правилами вы разрешаете прохождение IP пакетов только с адреса 192.168.1.1 все остальные будут отбрасываться.

по идее вам dest_ip надо (ip сервера)

# Настройте разрешающее правило для IP-адреса НАЗНАЧЕНИЯ 192.168.1.1/32
create access_profile ip dst_ip_mask 255.255.255.255 profile_id 10
config access_profile profile_id 10 add access_id 1 ip dst_ip 192.168.1.1 port 5 permit
# Настройте запрещающее правило для всех остальных IP-адресов
create access_profile ip dst_ip_mask 0.0.0.0 profile_id 20
config access_profile profile_id 20 add access_id 2 ip dst_ip 0.0.0.0 port 5 deny

второй профиль может быть в принципе любой, что с src что с dst.

ну и соответственно это все верно если за 5 портом клиент.

да, я и имел ввиду что за 5 портом будет клиент а 192.168.1.1 это сервер

Уважаемые! возник вопрос.
Вот например я перенаправил порт пользователя на определенный ip.
А у меня dhcp сервер находится на другом ip, пользователь получит IP или надо прописывать что бы он видел и тот IP и IP dhcp ?

Конечно не получит. Нужно чтобы был доступен и DHCP-сервер.

спасибо огроменное