3627 dgs железука
24 порт сеть 10.1.0.0 туда все можно через 10.1.0.3 роутится остальная сеть скажем 10.0.0.0/8
1-23 порты толпа клиентов которых нужно пускать в 10.1.0.0/24 всех и в 10.0.0.0/8 только тех чей мак адрес разрешен в листах.
вобщем хочется на основе ACL построить такую схему

1) есть сеть в которую все могут ходить
делаю таг:
create access_profile profile_id 1 ip destination_ip_mask 255.255.255.0
config access_profile profile_id 1 add access_id 1 ip destination_ip 10.1.0.0 port 1-23 permit

2) никого никуда не пускать (те которые в 10.1.0.0 ужеразрешены

create access_profile profile_id 14 ip source_ip_mask 0.0.0.0
config access_profile profile_id 14 add access_id 1 ip source_ip 0.0.0.0 port 1-23 deny

3) разрешить правильным пацанам ходить в куда угодно
create access_profile profile_id 2 ethernet source_mac FF-FF-FF-FF-FF-FF
далее соответственно набивает 2 ой профиль правильными пацанами
например
config access_profile profile_id 2 add access_id 1 ethernet source_mac 00-1A-4D-59-F1-8C port 1-23 permit

до этого места все хорошо и замечательно
а теперь я захотел что-бы "неправильные" пацаны редиректились на 10.1.0.250

т.е. все кто не получил permit
не долго думая включил следующиее
config access_profile profile_id 14 add access_id 1 ip source_ip 0.0.0.0 port 1-23 deny
create policy_route name bad_gay_redirect access_id 1 nexthop 10.1.0.250 state enable

и получилось как уседа не то что задумал
все пакетики, все,все,все редиректятся... даже правильных пацанов пакетики ... хны

как правильно сделать так, что бы те кто в в профилях 2-13 разрешены не редиректились а остальные редиректились ?


-- все пакетики

Версия прошивки?

Firmware: Build 2.40-B73

вопрос все еще актуален

нетолерантны вы к однополой любви

думаете у меня именно поэтому не получилось ?

2 Dethman Policy Route работает только с разрешающими правилами. И учитывайте что механизм ACL - до первого срабатывания дальше пакет перестает проходить ACL. Просто из того что вы написали непонятно к какому правилу вы прикрепили Policy.

Вопрос к Ивану - Не могли бы Вы пояснить механизм работы функции PBR?

1) Если я правильно понимаю -> пакет попадает под политику -> коммутатор принимает решение о его дальнейшем продвижении независимо от таблицы маршрутизации?

2) Предположим есть коммутатор с PBR.
На нем раскидана по /24 на VLAN подсеть 10.10.0.0/16, с порта 1 по 8.
Если я напишу такое правило



то в таком случае траффик между сетками /24 не будет ходить?

3) и для того чтобы все таки трафик шел между /24 мне надо будет правилом с меньшим id просто разрешить трафик из 10.10.0.0/16 на 10.10.0.0/16?

Правильно. Эти правила как бы имеют наивысший приоритет по маршрутизации. Ещё нужно учитывать особенность ACL в этой серии. Permit правила проверяются не до первого совпадения а до первого deny.

можно на примере пояснить? имеются в виду правила в одном профиле или сразу во всех?

первый профиль разрешает доступ в сеть 10.0.0.0/24, там живут службы которые доступны всем и всегда
со 2 по 13 это профили для разрешения ходить куда угодно указаным хостам
14 профиль это запрет всем ходить.
в первом посте я слегка ошибся в 14 профили при ПБР мы говорим разрешить, но тогда все пакеты заварачиваются по политике, т.е. если принимать слова Ивана, пакет уже разрешенный будет разрешен снова (простите за тафтологию) и подпадет под ПБР.
Т.е. сделать пбр для всех кто не попал под разрешения в прошлых профайлах возможности нет.