Пробема - сабж. Есть 3526, через него бежит влан, нетаг. 1,2 порты.
Необходимо запретить трафик на всего 1 адрес 199.21.34.66. но он либо всё запрещает, либо всё разрешает. Помогите разобраться.
Вот то, что получилось в результате нескольких часов мучений

create access_profile ip source_ip_mask 0.0.0.0 destination_ip_mask 255.255.255.255 profile_id 3
config access_profile profile_id 3 add access_id 2 ip source_ip 0.0.0.0 destination_ip 199.21.34.66 port 1 deny

Надо назначать на входящем для трафика порту.

reate access_profile ip source_ip_mask 255.255.255.255 destination_ip_mask 0.0.0.0 profile_id 3
config access_profile profile_id 3 add access_id 2 ip source_ip 10.10.10.41 destination_ip 0.0.0.0 port 1 deny

create access_profile ip source_ip_mask 0.0.0.0 destination_ip_mask 255.255.255.255 profile_id 4
config access_profile profile_id 4 add access_id 2 ip source_ip 0.0.0.0 destination_ip 10.10.10.41 port 1 deny

Первым правилом Вы запрещаете траффик от айпи адреса 10.10.10.41 на любой айпи.

Вторым правилом Вы запрещаете пакеты от любого айпи к айпи 10.10.10.41

Оба запрета идут только в одном направлении так что одно правило в любом случае неактуально.

Иван все правильно сказал но мне кажется правило можно упростить до такого вида
create access_profile ip destination_ip_mask 255.255.255.255 profile_id 3
config access_profile profile_id 3 add access_id 2 ip destination_ip 199.21.34.66 port 1 deny

Можно конечно. Я просто показал человеку учебный пример в том числе и для понимания что не так.

К моему глубокому сожалению ничо так и не сработало:(
Может это прошивка козёл?
Текущая версия 4.01-B36
Если у вас есть более новая прошивка, пожалуйста, вышлите мне её.
Заранее очень благодарен.

Я Вам прошивку выслал. Вы на какой порт назначаете? Не на тот случайно где и есть этот адрес назначения?

было бы бы замечательно если бы вы привели полный конфиг ACL с которым не работает.

не работает со всеми вариантами, предложеными вами. и нарисоваными мною тоже. Адрес находится не непосредственно на порту, а в сети, куда уходит порт. Сейчас попробую с новой прошивкой. Спасибо:)

Вы не должны назначать это правило на порт за которым находится этот адрес назначения. ACL действуют только на входящий трафик.

непонял вас. схема следующая:


[хост1, адрес 10.10.10.1]--->[3526, 1 входящий нетаг., 26 исходящий, таг]-----(tagged vlan)---->[3526, 26 входящий таг., 1-й исходящий нетаг.]----->[какая-то железка(не наша)]----> [хост2, адрес 10.10.10.2]


для 10.10.10.2 шлюзом является 10.10.10.1. но есть ещё трафик, который не надо блокировать. необходимо заблокировать только адрес 10.10.10.2 так, чтобы он не добегал до 10.10.10.1

Блокировать надо на 26-ом порту первого 35-ого.