Добрый день.
После прочтения факов не нашел примеров для моей ситуации.
Прошу показать как запретить весь (любой) трафик между портами 1 и 2 кроме кроме трафика PPPoE.
MAC адреса PPPoE концентраторов неизвестны (динамические).

Спасибо.

create access_profile ethernet ethernet_type profile_id 1

config access_profile profile_id 1 add access_id 1 ethernet ethernet_type 0x8863 port 1-2 permit
config access_profile profile_id 1 add access_id 1 ethernet ethernet_type 0x8864 port 1-2 permit

create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF profile_id 2

config access_profile profile_id 2 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-2 deny


но правда это запретит весь трафик кроме ПППоЕ не только между портам 1 и 2 но и между портам 1,2 и всем остальным коммутатором.

Нифига не работает.
Видимо я чегото не понимаю....

Пробую для проверки:

create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF profile_id 1
config access_profile profile_id 1 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-26 deny

По идее это закроет весь трафик по всем портам. Так ?
У меня после таких комманд все "ходит" по прежнему. Где грабли ?

3526 (*4.01-B19)

create access_profile ethernet ethernet_type profile_id 1

config access_profile profile_id 1 add access_id 1 ethernet ethernet_type 0x8863 port 1-2 permit
config access_profile profile_id 1 add access_id 1 ethernet ethernet_type 0x8864 port 1-2 permit

create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 2

config access_profile profile_id 2 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-2 deny


попробуйте так, я непонимаю принцип работы масок этих, если для IP они работают по правилам, то как работают эти и что значат вообще без понятия)

Они работают одинаково. Второй вариант правильный.

Дык если 00-00-00-00-00-00/FF-FF-FF-FF-FF-FF и 00-00-00-00-00-00/00-00-00-00-00-00 работают одинаково, почему тогда эффект разный?

Я не проверял на обычном ACL но на cpu interface filtering я наблюдал тоже самое.
Первый вариант ничего не запрещает почему то.

Пришлите пожалуйста конфиг и правила которые в таком случае не работают.

разница есть!
маска FF-FF-FF-FF-FF-FF
мак 00-00-00-00-00-00
это получается блокировать все с мака 00-00-00-00-00-00.

а если маска и мак 00-00-00-00-00-00, то это будет блокировать с любого мака.

_________________
LiveComm

Я имел ввиду маска во всех типах фильтрации строится по одинаковым принципам, а поводу последнего конечно неправильно. Я просто думал что маску человек первой указывает. А пример как я уже писал первый неверный.

а ну тогда все работает как надо, просто мы друг друга не поняли)

то есть маска F что в номере порта, что в эзернет типе, что в маке позволяет подставлять произвольный символ, и будет иметь только одно значение?

mac's:

mask value result

FF-FF-FF-FF-FF-FF / XX-YY-11-22-33-44 = XX-YY-11-22-33-44 (одно зн)
00-00-00-00-00-00 / XX-YY-11-22-33-44 = ?
FF-FF-FF-FF-FF-FF / FF-FF-FF-FF-FF-FF = FF-FF-FF-FF-FF-FF (бродкаст?)
00-00-00-00-00-00 / FF-FF-FF-FF-FF-FF = ?
00-00-00-00-00-00 / 00-00-00-00-00-00 = (любой)
FF-FF-FF-FF-FF-FF / 00-00-00-00-00-00 = 00-00-00-00-00-00 (что это?)
XX-YY-11-22-33-44 / XX-YY-11-22-33-44 = XX-YY-11-22-33-44
XX-YY-11-22-33-44 / 11-22-33-44-XX-YY = ?

ip's:

255.255.255.255 / XX.YY.ZZ.WW = XX.YY.ZZ.WW (одно значение)
0.0.0.0 / XX.YY.ZZ.WW = ?
255.255.255.255 / 255.255.255.255 = 255.255.255.255 (бродкаст?)
255.255.255.255 / 0.0.0.0 = 0.0.0.0 (что это?)
0.0.0.0 / 255.255.255.255 = ?
0.0.0.0 / 0.0.0.0 = (любой)
а что будет кстати если задать нестандартную маску?
XX.YY.ZZ.WW / XX.YY.ZZ.WW = ?
XX.YY.ZZ.WW / WW.ZZ.YY.XX = ?



ну и судя по всему правила МАКов распространяются и на правило масок портов? Помогите дополнить и скорректировать таблицу пожалуйста.

Те разряды где в маске 1 проверяются на полное совпадение по значению в правиле, а где в маске 0 не проверяются вообще. Т.е. может быть любое значение. Вот ваша таблица с учётом что первое значение это маска:

MAC

mask value result

FF-FF-FF-FF-FF-FF / XX-YY-11-22-33-44 = XX-YY-11-22-33-44 (одно зн)
00-00-00-00-00-00 / XX-YY-11-22-33-44 = любой
FF-FF-FF-FF-FF-FF / FF-FF-FF-FF-FF-FF = FF-FF-FF-FF-FF-FF (L2 Broadcast)
00-00-00-00-00-00 / FF-FF-FF-FF-FF-FF = любой
00-00-00-00-00-00 / 00-00-00-00-00-00 = любой
FF-FF-FF-FF-FF-FF / 00-00-00-00-00-00 = 00-00-00-00-00-00 нерегламентированнй адрес
XX-YY-11-22-33-44 / XX-YY-11-22-33-44 = XX-YY-11-22-33-44
XX-YY-11-22-33-44 / 11-22-33-44-XX-YY = здесь непонятно надо смотреть по разрядам.

IP

255.255.255.255 / XX.YY.ZZ.WW = XX.YY.ZZ.WW (одно значение)
0.0.0.0 / XX.YY.ZZ.WW = любой
255.255.255.255 / 255.255.255.255 = 255.255.255.255 (IP Broadcast)
255.255.255.255 / 0.0.0.0 = 0.0.0.0 нулевой MAC адрес источника например в пакетах DHCP Discover.
0.0.0.0 / 255.255.255.255 = любой
0.0.0.0 / 0.0.0.0 = любой
XX.YY.ZZ.WW / XX.YY.ZZ.WW = XX.YY.ZZ.WW
XX.YY.ZZ.WW / WW.ZZ.YY.XX = здесь непонятно надо смотреть по разрядам.

а что значит нерегламентированный мак адрес, и где он может появляться | использоваться ?

Он не должен появляться в сети. Т.е. правила его обработки не регламентированы. И он не указан ни в какой группе адресов.

пользуйтесь ...

_________________
с уважением, БП

а помоему 3 правило включает в себя второе, и в таком случае ответ уже был дан