Вопросик есть: есть один из узловых свитчиков: Пишу на него правила 20 правил вбито статикой в профилях 3,4,5, постоянных. сохранено на флешку. Далее пишу динамическую часть через Телнет (PHP скриптом раз в час).
==================================
#Ipfw ACL Rules Generated For 3028 (10.16.58.254) (c) 2009 Shkaf
delete access_profile profile_id 12
delete access_profile profile_id 9
delete access_profile profile_id 8
delete access_profile profile_id 7
delete access_profile profile_id 1
create access_profile ethernet source_mac ffffffffffff profile_id 1
create access_profile ip source_ip_mask 255.255.255.255 profile_id 7
create access_profile ip source_ip_mask 255.255.255.255 profile_id 8
create access_profile ip source_ip_mask 255.255.255.255 profile_id 9
create access_profile ip source_ip_mask 0.0.0.0 profile_id 12
config access_profile profile_id 7 add access_id auto_assign ip source_ip 10.16.58.10 port 1-19,21-22 permit
... таких с 10-к строк тут ...
config access_profile profile_id 7 add access_id auto_assign ip source_ip 10.16.58.24 port 1-19,21-22 permit
... и тут в разные профили ещё правил 150-200
==================================
проблема в том, что загоняет 10-к правил и начинает писать:
==================================
DES-3028:4#config access_profile profile_id 7 add access_id auto_assign ip source_ip 10.16.58.21 port 1-19,21-22 permit
Command: config access_profile profile_id 7 add access_id auto_assign ip source_ip 10.16.58.21 port 1-19,21-22 permit

Success.

DES-3028:4#config access_profile profile_id 7 add access_id auto_assign ip source_ip 10.16.58.22 port 1-19,21-22 permit
Command: config access_profile profile_id 7 add access_id auto_assign ip source_ip 10.16.58.22 port 1-19,21-22 permit

No enough room for this rule!
Fail!
==================================
ну вообщем и так далее правила больше не проходят.. смотрю через вэб интерфейс в 7-м профиле залито всего 11 правил.. :/

Boot PROM Version Build 1.00-B04
Firmware Version Build 1.03-B16

Вы не профиль смотрите а все правила. Вы наверное общий лимит в 256 правил превысили. И лучше использовать прошивку которую я Вам выслал.

Жаль что не показывает как в 3526 общее кол-во АЦП правил использованых Так посчитал через вэб интерфейс:
(профиль - количество правил)
1-0
2-1
3-11
4-4
7-12
8-0
9-0
12-0
итого 28 правил влезло в считчик :/ (всего их не более 230 должно быть)
До этого времени неделю, лил 150 правил тестово лилось без проблем

бновлю прошивку и будем смотреть

в новой прошивке появилось "кол-во использованых АЦЛ правил"
получается что запись:

config access_profile profile_id 7 add access_id auto_assign ip source_ip 10.16.58.10 port 1-19,21-22 permit - занимает 21 правило!, если вместо портов указать ALL - 1 правило :/ так должно быть ?

да

_________________
LiveComm

просто в заблуждение вводит вэб интерфейс, указывая на 3526 список правил с прортами типа 1-19,21,22 в вэб интерфейсе видны все 21 правило и если в ручную номера даешь, то следующему правилу соответсвено номер уже после 21-го идет.. (тоесть правило 1, потом правило 22 и т.д.)

в 3028 в вэб интерфейсе идет 1 правило со списком портов и номера можно давать попорядку 1 и сразу за ним правило 2..


Вообщем из-за этого нюанса возможности свитчика 3028 в области ACL становятся ещё скромнее. Поскольку ALL порты - достаточна бесмысленная вещ. Так как для экономии АЦЛ придется загонять ненужные правила в ненужные порты. Да и фильтровать трафик на магистралях? Тем более писать дополнительные разрешающие правила на магистральные порты чтобы запрещающие правила можно было применять с параметром ALL :/

Вобщем пошел менять свою концепцию и алгоритм фильтрации. спасибо за разъяснение

В принципе не так уж и ограничены. Сильно помогает что профилей 256, т.е. можно создавать свой профиль на каждое правило. А всякий флуд его нужно и на магистралях фильтровать.