Здравствуйте !
Следующая ситуация:
сгорел 3com 4950, на замену и про запас были куплены des 3828.
Как написать следующие acl:
protocol ip interface add 192.168.5.254 255.255.255.192 26 Primary
security network access accessList add 26 0.0.0.0 0.0.0.0 deny
security network access accessList add 26 192.168.5.192 255.255.255.192 permit (себе)
security network access accessList add 26 192.168.1.0 255.255.255.0 permit (сервера)
security network access accessList add 26 192.168.2.0 255.255.255.0 permit (сервера)
(разрешаем доступ в свою 5-ю и в 1-ю, 2-ю сети - к серверам )
Здесь число 26 - это номер vlan в котором эти acl действуют.
Всего имеется около 13-ти vlan и 13 ip интерфейсов.
На каждый vlan написан аналогичный блок acl, меняется лишь одна его строка разрешающая доступ сети самой к себе.
Т.е. блок для следующего vlan имеет вид:
protocol ip interface add 192.168.6.254 255.255.255.192 27 Primary
security network access accessList add 27 0.0.0.0 0.0.0.0 deny
security network access accessList add 27 192.168.6.192 255.255.255.192 permit
security network access accessList add 27 192.168.1.0 255.255.255.0 permit
security network access accessList add 27 192.168.2.0 255.255.255.0 permit
Присутствуют сети как по маскам /24 там и по /26.
Можно ли на dlink 3828 назначать таким образом acl - на vlan ?
Пожалуйста помогите !

ну во первых Интерфейсы назначаются на vlan

то есть

protocol ip interface add 192.168.5.254 255.255.255.192 26 Primary

будет

create ipif vlan26(название интерфейса) 192.168.5.254/26 vlan26(название vlan)

а что делают правила?

security network access accessList add 26 0.0.0.0 0.0.0.0 deny
security network access accessList add 26 192.168.5.192 255.255.255.192 permit (себе)
security network access accessList add 26 192.168.1.0 255.255.255.0 permit (сервера)
security network access accessList add 26 192.168.2.0 255.255.255.0 permit (сервера)

security network access accessList add 26 0.0.0.0 0.0.0.0 deny
запрещает все

security network access accessList add 26 192.168.5.192 255.255.255.192 permit
разрешает доступ внутри сети 192.168.5.192/26, т.е. чтобы рабочие станции этой сети видели друг друга и gateway 192.168.5.254 (ip-интерфейс на свиче)

security network access accessList add 26 192.168.1.0 255.255.255.0 permit
разрешает рабочим станциям указанным выше доступ к сети 192.168.1.0/24 в которой находятся сервера

security network access accessList add 26 192.168.2.0 255.255.255.0 permit
аналогично разрешает рабочим станциям указанным выше доступ к сети 192.168.2.0/24 в которой находятся другие сервера

Т.е. здесь указывается только адрес назначения и маска, номер vlan, и ключевое слово permit/deny.

Также этот свич (сгоревший, который нужно заменить) не является последним в линии, после него идут еще 2 ... к ним и подключены рабочие станции по 1 штуке в порт.
Тем не менее acl на них отсутствуют, т.к. они настроены на предыдущем свиче (он сгорел)
Ip-интерфесы на них (2-х последних в линии свичах) также отсутствуют, есть только 1 для удаленного управления, он назначен на 1-й vlan.

create access_profile ip source_ip_mask 255.255.255.192 destination_ip_mask 255.255.255.192 profile_id 1
config access_profile profile_id 1 add access_id auto_assign ip source_ip 192.168.5.192 destination_ip 192.168.5.192 port 1-28 permit

create access_profile ip source_ip_mask 255.255.255.192 destination_ip_mask 255.255.255.0 profile_id 2
config access_profile profile_id 2 add access_id auto_assign ip source_ip 192.168.5.192 destination_ip 192.168.1.0 port 1-28 permit
config access_profile profile_id 2 add access_id auto_assign ip source_ip 192.168.5.192 destination_ip 192.168.2.0 port 1-28 permit

create access_profile ip source_ip_mask 255.255.255.0 destination_ip_mask 255.255.255.192 profile_id 3
config access_profile profile_id 3 add access_id auto_assign ip source_ip 192.168.1.0 destination_ip 192.168.5.192 port 1-28 permit
config access_profile profile_id 3 add access_id auto_assign ip source_ip 192.168.2.0 destination_ip 192.168.5.192 port 1-28 permit

create access_profile ip source_ip_mask 0.0.0.0 destination_ip_mask 0.0.0.0 profile_id 4
config access_profile profile_id 4 add access_id auto_assign ip source_ip 0.0.0.0 destination_ip 0.0.0.0 port 1-28 deny

Если нужно для всех VLAN-ов как я понял, то вышеуказанные правила подойдут, если выборочно для некоторых то ещё в профилях можно указать параметр vlan, а в правилах прописать конкретное имя VLAN-а.

Спасибо. С профилями правил более-менее понятно. Есть еще пара вопросов:
1. Можно ли назначить эти аcl на vlan, не указывая портов?
2. Для чего указывается имя Vlan'a в acl, например: сonfig access_profile profile_id 1 add access_id auto_assign ip source_ip 192.168.5.192 destination_ip 192.168.5.192 vlan Workstations ..(дальнейшие варианты ответов)...? Создается впечатление, что если не указывать имя Vlan'a, то все равно ничего не изменится.. Так ли это?

ну если не указывать vlan то применяться будет ко всем пакетам,а если указывать то только к тем которые в vlan.
правила в любом случае надо назначать на порт/порты

1. Нет.
2. У Вас приходит тегированный трафик или нет?

_________________
С уважением,
Бигаров Руслан.

Да, приходит тегированый трафик.
И еще возник вопрос как правильно настроить LACP.
В FAQ нашел как это делается между Cisco и D-link, применимо ли это к 3com ? На 3com существуют 3 вида агрегации (из руководства): Manual Aggregation , Static LACP Aggregation , Dynamic LACP Aggregation.

У Вас в правиле ip source_ip и destination_ip совпадают, нужно пересмотреть критерии, по которым Вы будете делать выборку.

По 3com мы не консультируем, в D-Link-ах есть только два режима: статический и LACP.

_________________
С уважением,
Бигаров Руслан.

Спасибо еще раз за ответы вроде все заработало как надо.
Остался вопрос про прошивку тут на форуме видел высылают 59-ю прошивку которой на ftp нет.
Вышлите пожалуйста! Есть ли смысл прошиваться на нее и почему ?

Я Вам выслал прошивку на которую стоит обновиться.