Добрый день, но побродив по форуму так и не нашел как на 3326 прибить мультикаст(много примеров для 35хх, но для 3326 они не подходят). Подскажите как это проще сделать. И еще вопрос, как бороться с netlook запущенный на пользовательских машинах?

А почему бы просто не блокировать все ethernet бродкасты, кроме, скажем, ARP? Это простейшие профили - их могут любые коммутаторы...

По поводу Multicast попробуйте в правиле задать фильтрацию по destination IP и указать подсеть 224.0.0.0 с такой же маской в профиле. По поводу netlook какой она трафик генерит?

а разве ACL обрабатывают мультикаст траффик?

да но мультикаст ведь не броадкаст, хотя бы если посмотреть по dst_mac

напишите пожалуйста как приблизительно это правило будет выглядеть.

netlook - это софтина некий продвинутый обозреватель компьютеров, она рассылает arp броадкасты(ethernet_type 0x806) по всему диапазону ip адресов подсетки. как вариант я нашел решение на коммутаторе заблокировать порты 137,139,135, при этом блокируется результат, то есть пользователь не видит в окружении комьютеры сети и их шары.... но хотелось бы заблокировать сам паразитический трафик в виде арп бродкастов.

Попробовал такой вариант перекрыть все броадкасты, арп перестали уходить дальше коммутатора, но это вариант наверное будет не совсем правильный ибо начались проблемы с тем что перестал работать на клиентских машинах днс.

delete access_profile profile_id 5
create access_profile ip udp src_port_mask 0xffff dst_port_mask 0xffff profile_id 5 permit
config access_profile profile_id 5 add access_id 1 ip udp src_port 68 dst_port 67
config access_profile profile_id 5 add access_id 25 ip udp src_port 67 dst_port 68

delete access_profile profile_id 11
create access_profile ethernet destination_mac ff-ff-ff-ff-ff-ff ethernet_type profile_id 11 deny
config access_profile profile_id 11 add access_id 2 ethernet destination_mac ff-ff-ff-ff-ff-ff

delete access_profile profile_id 40
create access_profile ethernet ethernet_type profile_id 40 permit
config access_profile profile_id 40 add access_id 1 ethernet ethernet_type 0x806

delete access_profile profile_id 50
create access_profile ethernet ethernet_type profile_id 50 permit
config access_profile profile_id 50 add access_id 1 ethernet ethernet_type 0x800

delete access_profile profile_id 60
create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 60 deny
config access_profile profile_id 60 add access_id 1 ethernet source_mac 00-00-00-00-00-00

вот а сейчас пока остановился на таких правилах.

разрешаем ARP
delete access_profile profile_id 10
create access_profile ethernet ethernet_type profile_id 10 permit
config access_profile profile_id 10 add access_id 1 ethernet ethernet_type 0x806

запрещаем IP бродкасты:
Код:
delete access_profile profile_id 11
create access_profile ethernet destination_mac ff-ff-ff-ff-ff-ff ethernet_type profile_id 11 deny
config access_profile profile_id 11 add access_id 2 ethernet destination_mac ff-ff-ff-ff-ff-ff ethernet_type 0x800



delete access_profile profile_id 13
create access_profile ip dscp udp dst_port_mask 0xffff profile_id 13 deny
config access_profile profile_id 13 add access_id 5 ip udp dst_port 137
config access_profile profile_id 13 add access_id 7 ip udp dst_port 138
config access_profile profile_id 13 add access_id 10 ip udp dst_port 135
config access_profile profile_id 13 add access_id 12 ip udp dst_port 139
config access_profile profile_id 13 add access_id 13 ip udp dst_port 445
config access_profile profile_id 13 add access_id 101 ip udp dst_port 1900

delete access_profile profile_id 14
create access_profile ip dscp tcp dst_port_mask 0xffff profile_id 14 deny
config access_profile profile_id 14 add access_id 53 ip tcp dst_port 135
config access_profile profile_id 14 add access_id 77 ip tcp dst_port 139

разрешаем IP
Код:
delete access_profile profile_id 50
create access_profile ethernet ethernet_type profile_id 50 permit
config access_profile profile_id 50 add access_id 1 ethernet ethernet_type 0x800

запрещаем весь не IP траффик:
Код:
delete access_profile profile_id 60
create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 60 deny
config access_profile profile_id 60 add access_id 1 ethernet source_mac 00-00-00-00-00-00

Ну да, это я погорячился... Не бродкаст, но все равно - mac там вполне характерный, чтобы можно было ACL на базе содержимого пакета написать.

там мак начинается всегда с 01-00-5E остальные 3 числа берутся похоже с ip мультикаста... в этой теме хорошо это описано и правила для 3526, которые нет возможности применить на 3326
http://forum.dlink.ru/viewtopic.php?t=52931&highlight=3526+%D0%BC%D1%83%D0%BB%D1%8C%D1%82%D0%B8%D0%BA%D0%B0%D1%81%D1%82

Точно, виноват - погорячился... Мне казалось, что на 3226/3326 по содержимому пакета можно ACL писать... Ан нет....

помойму многовато лишних/некорректных правил, напишите лучше что вам нужно, какой трафик ходил какой не ходил.

собственно нужно чтобы DHCP пропускал и IP протокол, блокировал мультикасты и броадкасты, а также левые протоколы типа ipx и прочих.

просто DHCP или Relay? DHCP на всех портах или только с магистрального?

25 и 26 порты магистральные,стоит модуль под оптику, даже и не думал, но наверное лучше только на магистральных сделать DHCP, чтобы случайно пользовательский dhcp не нарушил работу сети.
Rеlay не нужен, так как каммутатор находится в одном сегменте сети.

Перезвоните пожалуйста завтра в офис по телефону 744-00-99 доб.390.

как задать подсеть в правиле так и не нашел