Здравствуйте!
Очень прошу помогите с настройками ACL на DES-3526, а то что то у меня мозгов нехватает самому разобратся!

имеем "магистральные" порты 24, 26
необходимо!

на портах 24 и 26 разрешить прохождение пакетов определённым IP с МАС адресами
например:
IP 192.168.0.3 MAC 00-0c-6e-39-9e-c1
IP 192.168.0.5 MAC 00-11-2f-38-90-fe
IP 192.168.0.10 MAC 00-80-48-16-d3-93
а всем остальным запретить!

а если ещё покажете(объясните) как тем всем кому все запрещено настроит доступ , но только к определенному IP и МАС например к такому 192.168.0.1 00-02-44-6c-d5-ee то я буду просто счастлив
и хорошо бы если обьяснили как это именно через ВЕБ морду сделать!

заранее благодарен!

Первый пункт реализуется функцией IP-MAC-Port Binding. Прописывате нужные связки на портах и включаете функцию на этих портах. Второй при помощи стандартного IP type ACL, только естественно на клиентских портах так как анализируется только входящий трафик. Source IP - вся Ваша подсеть, destination IP - IP-адрес сервера, который Вы указали.

так я тоже думал что функции IP-MAC-Port Binding хватит, но тут заметил что появились "левые" IP каторые не прописаны в IP-MAC-Port Binding

то есть IP-MAC-Port Binding хорошо помагает от постоянной смены IP пользователями, но оказалось что не блокирует IP каторые не прописаны, я ради эксперемента даже фильм скачал с компа IP каторого не прописан, и свичь его не забанил!

Вообще-то должен блокировать. Версия прошивки и какой режим IP-MAC-Port Binding используете?

Firmware Version 3.06-B20
IP-MAC Binding Port на 24 и 26 порту "Enabled"

Перепрошейте коммутатор последней прошивкой 4.01-B19 с нашего ftp.

будьте добры, накидайте пример!

Вот этими правилами на порту 2 Вы разрешаете обращение с 192.168.0.2 только на 192.168.0.1. Весь остальной трафик запрещён.
create access_profile ip source_ip_mask 255.255.255.255 destination_ip_
mask 255.255.255.255 profile_id 1
config access_profile profile_id 1 add access_id 1 ip source_ip 192.168
.0.2 destination_ip 192.168.0.1 port 2 permit
create access_profile ip source_ip_mask 0.0.0.0 destination_ip_mask 0.0
.0.0 profile_id 2
config access_profile profile_id 2 add access_id 1 ip source_ip 0.0.0
.0 destination_ip 0.0.0.0 port 2 deny

благодарю за пример!

тогда у меня ещё 2 вопроса!
этим правилом я разрешаю доступ ВСЕМ к IP 192.168.0.1 ?
create access_profile ip source_ip_mask 0.0.0.0 destination_ip_mask 255.2555.255.255 profile_id 2
config access_profile profile_id 2 add access_id 1 ip source_ip 0.0.0.0
destination_ip 192.168.0.1 port 2 permit

Паралельно этому у меня ещё прописаны связки IP-MAC в IP-MAC Binding Port
Я пока еще прошивку не обновил, но предположим что IP-MAC Binding Port выполняет свои функции и режет "левые"связки IP-МАС каторые в его правилах не прописаны

то есть, независимо от правил в IP-MAC Binding Port "левые" IP будут иметь доступ к 192.168.0.1 или нет?

По первому вопросу именно так. По второму зависит от режима. Если это ARP-режим то эти функции действуют независимо, если ACL, то это один и тот же механизм.

то есть IP-MAC-Port Binding с ACL совсем не дружит и нужно или там настраиват или там?
Или я не совсем правельно понял?



ARP-режим -это типа IP-MAC-Port Binding ?

то есть как я понял независимо с ACL?

тогда непонятно следующее

один и тот же с чем?

А то у меня IP-MAC-Port Binding перекрывает правила ACL

Вы не могли бы перезвонить в московский офис по телефону 744-00-99 доб.390?

жаль, что не увидел окончания дискуссии
а то у меня один-к-одному вопросы предпоследнего поста возникли
надеюсь, автор темы объяснит потом понятным языком то, что ему по телефону рассказали

з.ы. имхо, было бы удобнее такие темы в форуме обсуждать а не по телефону - меньше подобных вопросов бы возникало

я конечно со всем до конца ещё не разобрался!

но вобщих чертах дело обстоит так!
прописать связки IP-MAC можно двумя способами
1. это в в IP-MAC Binding, там все относительно просто, назавем это режимом (ARP)
2. это в Access Profile Table там посложнее - режим (ACL)

НО в последней прошивке каторая 4.01-B19 в разделе IP-MAC Binding появились дополнительные настройки.
Во первых, включение и отключение режима ACL.
Во вторых, при прописывании самой связки можно выбрать в каком режиме, вернее даже сказать, каким способом она будет реализована ARP или ACL.
Насколько я понял если при создании связки IP-MAC выбрать режим ARP то будет как ранее(в предыдущей прошивке) в IP-MAC Binding создать привязку IP к MAC, а если выбрать режми ACL, то АВТОМАТОМ создается правило в Access Profile Table, то есть делающее то же самое что и правило в IP-MAC Binding в режимt ARP, но другим способом.
Вроде так.

Всё-таки не совсем так:
1) Функция IP-MAC-Port Binding имеет два режима ARP и ACL.
2) В режиме ARP для фильтрации связок на порту используются ARP-пакеты. Соответственно есть возможность пропуска первого ARP-запроса, а следовательно ARP-spoofing-а. Зато полная независимость от ACL.
3) В режиме ACL исключается возможность пропуска первого ARP-пакета. В этом случае создаются ACL-правила типа пропустить определённый IP, пропустить определённый MAC и запретить всё остальное. Таким образом надо продумывать стратегию ACL целиком.