Приветсвую вас форумчане!
Нужен совет.
Как сделать на DES-3526, чтобы с порта, скажем, номер 17 можно было видеть только интрнет шлюз с IP=192.168.0.200, MAC=00-11-2f-d0-c0-5a. И желательно отсеч весь бродкаст трафик циркулирущий в остальной сети кроме DHCP пакетов от DHCP сервера которым и является этот интернет шлюз.

ACL

_________________
LiveComm

Понятно что ACL.
Вечер танцев с бубном вокруг ACL. Результат никакой.
На старых прошивка все было просто и понятно. На новых же ничего не получается.

создать нужные профили: в первом разрешить ходить на этот IP на 17 порту. второй разрешает ходить на этот мак, третий разрешает DHCP, четвертый ARP бродкасты, ну и последний все убивает ))
если использовать Packet Content Filter то удастся сэкономить кол-во профилей.

_________________
LiveComm

Cхему что нужно разрешить и запретитья я понимаю.
Я не понимаю азбуку ACL.

спрашивайте, что непонятно.

_________________
LiveComm

Было б здорво еслиб написали пример с моими исходными, с пояснялками.

Через Traffic Segmentation это решить проще.

_________________
С уважением,
Бигаров Руслан.

Это если шлюз подключен к тому же свитчу, где и хотим заблокировать. А если нет, то только ACL.

_________________
LiveComm

Все знают, что ACL, но никто не знает как.
Через сегментацию трафика не выйдет, последовательно соединены куча DES-3526.

Видимо вопрос не так поставил. Попробую еще разок.

Как составить набор ACL правил, которые:
1. разрешало ходить с порта №17 на интрнет шлюз IP=192.168.0.200
2. разрешало ходить с порта №17 на интрнет шлюз MAC=00-11-2f-d0-c0-5a
3. разрешало слать ARP запрос на получение DHCP
4. разрешало принимать DHCP
5. запрещало все остальное из остальной сети

Видимо на самом деле никто не знает. Либо думают: "вот парень тупит, тут же все как два пальца обасфальт".

Чего-то я не понимаю в этих ACL. В ФАКе есть пример как заблокировать порты windows network.
попроьовал поэкспериментировать на своем порту. Написал.

create access_profile ip tcp dst_port_mask 0xffff profile_id 101
config access_profile profile_id 101 add access_id 1 ip tcp dst_port 135 port 2 deny
config access_profile profile_id 101 add access_id 2 ip tcp dst_port 139 port 2 deny
config access_profile profile_id 101 add access_id 3 ip tcp dst_port 369 port 2 deny
config access_profile profile_id 101 add access_id 4 ip tcp dst_port 445 port 2 deny
config access_profile profile_id 101 add access_id 5 ip tcp dst_port 593 port 2 deny
config access_profile profile_id 101 add access_id 6 ip tcp dst_port 2869 port 2 deny
config access_profile profile_id 101 add access_id 7 ip tcp dst_port 5000 port 2 deny

create access_profile ip udp dst_port_mask 0xffff profile_id 102
config access_profile profile_id 102 add access_id 1 ip udp dst_port 137 port 2 deny
config access_profile profile_id 102 add access_id 2 ip udp dst_port 138 port 2 deny
config access_profile profile_id 102 add access_id 3 ip udp dst_port 1900 port 2 deny

Как виндовая сеть работала, так и работает. Вообще ничего не изменилось.

Те правила удалил.
Потом пробовал заблокировать VypressChat, работающий по 8166 UDP и TCP портам. Написал:
create access_profile ip tcp dst_port_mask 0xffff profile_id 1
config access_profile profile_id 101 add access_id 1 ip tcp dst_port 8166 port 2 deny


create access_profile ip udp dst_port_mask 0xffff profile_id 102
config access_profile profile_id 102 add access_id 1 ip udp dst_port 8166 port 2 deny



create access_profile ip udp src_port_mask 0xffff profile_id 103
config access_profile profile_id 103 add access_id 1 ip udp src_port 8166 port 2 deny


create access_profile ip tcp src_port_mask 0xffff profile_id 104
config access_profile profile_id 104 add access_id 1 ip tcp src_port 8166 port 2 deny

Ничего не измелись.

Что-то не так в твоём датском королевстве ..
Закрыть виндовую самбу .... попробуй так :

to Daniil-B.
Сделал. Результата нет. Как работала винодовая самба, так и работает.