подскажите как правильнее сделать ACL примерно следующего характера:

всем MAC запрещено куда-либо ходить, кроме определенного списка.

сделал так, но не слишком уверен в правильности:




да, и хотел поитересоваться, как бы созданные правила ACL автоматом в свич грузить? по nix вроде с есть варианты, а для windows?

СПАСИБО

В принципе верно, но обратите внимание на маску source_mac и учтите, что лучше загружать профили в обратном порядке (если вводите их вручную), чтобы не потерять связь с устройством, то есть примерно так:

Также стоит отметить, что в таком варианте пакеты c MAC-адреса 00-BB-AA-BB-AA-11 будут разрешены на всех портах, а не на каком-то конкретном.
Чтобы автоматизировать процесс загрузки правил в коммутатор можно использовать, например, инкрементальный конфиг либо SNMP в зависимости от решаемой задачи.
P.S. Укажите, пожалуйста, модель Вашего коммутатора.

DES 3200-10
Firmware Version 1.21.B006
Hardware Version A1


ага, я сначала тоже писал



и ничего не работало...
прописал:

и вроде как заработало...

возможно неточно поставил вопрос: Никаким mac нельзя никуда ходить! А aa-bb.. мог.

P.S. а может еще подскажите как бы всем, кроме этих же MAC, запретить бродкаст, в часности dhcp?



[/code]

Если Вы задаете маску source_mac 00-00-00-00-00-00 во 2-ом профиле, то разрешающее правило будет действовать на все MAC-адреса, то есть при этом теряется смысл запрещающего правила в 9-ом профиле.

что-то у меня не работает. Или если клиент подключен не к этому коммутатору, то правила не будут работать? если есть vlan'ы ACL как-то по другому нужно делать?

Тогда более полно приведите топологию этого сегмента сети (в какой порт подключен клиент и какие настройки VLAN). Какой MAC адрес у сетевой карты клиента.

топология примерно такая:
с разных свичей "приходит" на этот свич vlnaid 6 по тегированному порту. к этому свичу подключен сервер по нетегированному порту, котовый можно видеть только определенным мак-адресам. более того, на этом сервере есть dhcp сервер, который для всех кроме определенных мак адресов-должен не должен пропускать широковещание.

клиент aa-bb-aa-bb-aa-11 находится за тегированным портом в vlan 6
сервер 00-22-b0-06-26-ed непосредственно на этом свиче за нетегированным портом в этов же vlan.

в последствии количество клиентов и серверов предполагает увеличиваться, возможно добавяться acl по другим параметрам. но топология будет та же - никто кроме спаска-мак адресов не должен знать о существовании серверов.

Если сервер - один на своем порту, то для него создавать ACL смысла не вижу. Учтите, что ACL отрабатывает только на входящий в порт трафик, поэтому вешать правило нужно на тот порт откуда он приходит. Клиент и сервер находятся у Вас в одной подсети? И почему Вы не хотите сделать правила не по MAC, а по IP?

Да все в vlan6.

если acl убираю - друг-друга видят.

По большрму счету, меня устраивает фильтрация на входящем порту (10-й).
по ip- наверное не получится, потому как на сервере и dhcp поднят. опять же, хочу ограничить раздачу dhcp если не в списке-мак.

может я хочу слишком много от acl? просто всегда думал, что это самое гибкое решение, но только опыта работы с acl не имею....

Так ограничьте прям на DHCP сервере.

да, сложная ситуация....

может быть не acl? может быть mac-based vlan?

т.е. если мас-"хороший", то добавлять его, к примеру в 7-й влан.
а на 7-м влане нетегированный будет сервер.

только вот проблема, клиенты приходят в коммутатор по терированному порту с valn6. может быть их как нибудь динамически можно по правилам в 7-й отправлять???

Вот в этом месте интересует такой вопрос: а что должен содержать инкрементальный конфиг, чтоб свич понял, что он именно инкрементальный?
DES-3028/R2.5

Его нужно загружать примерно так:
Сам файл, например, такого вида:

а если по snmp?

Для этого нужно использовать agentBscSwFileBIncrement. Выслал Вам документацию.