Demin Ivan писал(а):
Извините можно вопрос? А Вы после этого всё остальное запрещаете? Просто хочу понять для чего это правило.
create access_profile ethernet vlan profile_id 10
config access_profile profile_id 10 add access_id 1 ethernet vlan name permit
create access_profile ip tcp dst_port_mask 0xFFFF profile_id 11
config access_profile profile_id 11 add access_id 1 ip tcp dst_port 135 deny
config access_profile profile_id 11 add access_id 2 ip tcp dst_port 139 deny
config access_profile profile_id 11 add access_id 3 ip tcp dst_port 445 deny
create access_profile ip udp dst_port_mask 0xFFFF profile_id 12
config access_profile profile_id 12 add access_id 1 ip udp dst_port 137 deny
config access_profile profile_id 12 add access_id 2 ip udp dst_port 138 deny
create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type profile_id 60
config access_profile profile_id 60 add access_id 1 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x806 permit
config access_profile profile_id 60 add access_id 10 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x800 deny
Вот конфиг свича. Для всей сети "сетевое окружение" и весь броадкастовый не ARP-трафик закрыт воизбежании атак и вирусной активности, но сетевое окружение необходимо для одного вилана. И пользователи в этом вилане находятся на разных свичах соединённых между собой цепочкой свичей с включённым GVRP.
Можно конечно прописать ручками этот вилан на всех промежуточных свичах и отказаться от GVRP, но не хотелось бы.
Вход
Регистрация
FAQ
Поиск
