Подскажите пожалуйста оптимальную конфигурацию ACL в DES 3526 для решения следующей задачи.
Необходимо, что бы на порту коммутатора мог работать только определенный ip адрес (например 192.1.68.1.1 на первом порту, 192.1.68.1.2 на втором и.т.д).
Все порты принадлежат одному vlan.

Создаёте профиль по srcIP. Создаете правило, в котором указываете нужный IP отправителя. Ну и здесь-же привязываете к номеру порта.

Хотелось бы увидеть конфигурацию ACL. Знаете ли у вас не очень стандартная семантика;-)

а что брать за стандарт - если он вообще есть?
а что касается семантики - она подробно описана в мануале. а через Web даже ее не нужно знать - все наглядно.

_________________
С уважением, Карагезов Владислав

Тем не менее хотелось бы увидить правило разрешающее прохождение только одного source адреса с порта. Это же всего пара строк. Стоит ради этого припираться.

P.S я бы не сказал, что в мануале ACL описаны подробно.

В мануале ACL описанны весьма подробно. Разобрался за сутки.

Вот как это сделанно у меня.

1. Профиль которым я режу броадкасты. DHCP у меня нет, а левого широковещания мне в сети не надо. У кого DHCP есть - энто правило не подойдет.

create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type profile_id 4
config access_profile profile_id 1 add access_id 1 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x800 port 1 deny

2. Режу весь трафик Netbios - чтобы вирусы народ не мучали. У кого виндовые машины между собой через сетевое окружение общаются опять же не подойдет.

create access_profile ip tcp dst_port_mask 0xFFFF profile_id 5
config access_profile profile_id 5 add access_id 1 ip tcp dst_port 135 port 1 deny
config access_profile profile_id 5 add access_id 27 ip tcp dst_port 137 port 1 deny
config access_profile profile_id 5 add access_id 53 ip tcp dst_port 138 port 1 deny
config access_profile profile_id 5 add access_id 79 ip tcp dst_port 139 port 1 deny
config access_profile profile_id 5 add access_id 105 ip tcp dst_port 445 port 1 deny

3. Разрешаю прохождение пакетов для Uplink гигабитных портов 25-26, чтобы остальными ACL ентот трафик не тормозить. Возможно у 3526 ACL аппаратное и энтот профиль лишний, пусть если что гуру подправят, но я перестраховался.

create access_profile ethernet ethernet_type profile_id 6
config access_profile profile_id 6 add access_id 25 ethernet ethernet_type 0x800 port 25 permit
config access_profile profile_id 6 add access_id 26 ethernet ethernet_type 0x800 port 26 permit
config access_profile profile_id 6 add access_id 125 ethernet ethernet_type 0x806 port 25 permit
config access_profile profile_id 6 add access_id 126 ethernet ethernet_type 0x806 port 26 permit

4. Разрешаю трафик от определенного IP с определенного порта
create access_profile ip source_ip_mask 255.255.255.255 profile_id 10
config access_profile profile_id 10 add access_id 5 ip source_ip 192.168.115.12 port 5 permit

5. Разрешаю трафик от подсетей которые у меня тоже есть. У меня на некоторых портах организации у которых свой рутер и которым выданны маленькие подсетки
create access_profile ip source_ip_mask 255.255.255.248 profile_id 11
config access_profile profile_id 11 add access_id 5 ip source_ip 192.168.115.240 port 5 permit

6. Запрещаю любой другой IP на портах
create access_profile ip source_ip_mask 0.0.0.0 profile_id 100
config access_profile profile_id 100 add access_id 5 ip source_ip 0.0.0.0 port 5 deny

7. Разрешаю IP (800) и ARP (806) трафик не попавший в запреты. Делается для того, чтобы сначала включить нового клиента в порт - назначить ему IP, проверить что все робит. Потом уже прописать на него ACL как в примере выше.

create access_profile ethernet ethernet_type profile_id 200
config access_profile profile_id 200 add access_id 5 ethernet ethernet_type 0x800 port 5 permit
config access_profile profile_id 200 add access_id 105 ethernet ethernet_type 0x806 port 5 permit

8. Рублю все остальное (чтобы IPX, Netbui и всякое левое по сети не бегало)

create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 220
config access_profile profile_id 220 add access_id 5 ethernet source_mac 00-00-00-00-00-00 port 5 deny

Спасибо, Helios
Еще один вопросик. А насколько ACL подобный вышеописанному грузит CPU свича. Какой трафик там летает и нет ли разного рода затупов?

нет, из-за ACL проблем не возникнет.

_________________
С уважением, Карагезов Владислав

Обнаружил интересный факт с 3526. Если создать некоторое количество профилей ACL и некоторое кол-во ACL в них (больше 20-40 ACL), потом зайти в Access Profile Table через web, зайти в профили ACL, нажать там кнопочку "Modify", то с вероятностью 1/20 свитч наглухо виснет. Т.е. раз один раз зайдешь не повиснет, два, а на n раз (обычно n не больше 10-15) - сначала полностью отмирают функции управления, потом пропадает пинг до свитча, а через полчаса все вешается наглухо (т.е трафик через свитч не идет). На данные грабли было неоднократно наступленно в попытках редактировать ACL через web-интерфейс. Сейчас пользую CLI, но неприятный осадок остался (

версия FW?

_________________
С уважением, Карагезов Владислав

в названии топика. А что, есть уже более свежая?

хочу добавить свои 5 копеек, а то мало ли, вдруг кому пригодится моя попытка организовать ACL c приоретизацией траффика в рамках отдельно взятого свича....
для того чтобы нормально работала приоретизациякстати почему то это написано в 3010F (там увидел) а вот на 3526 нет... но в общем, ставим:а потом собсно ACL (на 25 и 26-м портах живут сервера):

разрешаем ARP:


разрешаем DHCP:


запрещаем _любые_ бродкасты:


приоретизируем протоколы:


приоретизируем TCP и одновременно задаем профиль для блокировки нежелательного TCP траффика:


приоретизируем UDP и одновременно задаем профиль для блокировки нежелательного UDP траффика:


весь IP траффик идет с наименьшим приоритетом, т.к. мы сами решим что нам надо гнать с высшим


запрещаем весь не IP траффик:


З.Ы. все работает, траффик режется и приоретизируется, но мне бы хотелось услышать точку зрения многоуважаемого All вообще и ув. В.Карагезова в частности насколько все верно, а особенно насколько верно использование profile_id 5

Конечно есть - перепрошейте коммутатор версией 3.05-B09

как я понял это относится к Flow Control если да - то я чет не понял имеем вывод по sh sw:заходим в меню Port Configuration по адресу http://your.switch.ip.addr/html/CfgPortSetup.html?0,0,0 и видим там что можно врубить Flow Control или заходим в меню Port Bandwidth по адресу http://your.switch.ip.addr/html/CfgPort ... html?0,0,0 и видим что но нигде не сказано что рекомендуется включить Flow Control для улучшения передачи TCP траффика, как это сделано в 3010F... увы оного сейчас нет под рукой дабы сказать где оно там точно, но кажется это я видел в аккурат в меню Port Bandwidth...
о! перелистал мануал на предмет данных меню и таки не нашел данной рекомендации

Уважаемая техподдержка, проясните все таки ситуацию с flow control. Нужен он или нет?