Добрый день,

Для фильтрации трафика на свичах D-link применяется ACL (create access_profile & config access_profile).
Пакеты проходящие через свитч могут иметь несколько вариантов обработки:
1) ehternet коммутация
2) ip маршрутизация между интерфейсами
3) пакеты предназначеные коммутатору (ping, telnet, snmp, ospf, rip)
4) специальные фичи перенаправления трафика (dhcp_relay)

подскажите какие правила access_profile работают и на каких уровнях.
особо интересует 2-ой и 3-тий варианты. И не сломается например 4 пункт при этом?!

Из практических задач которые я перед собой поставил и пытаюсь решить с помощью DXS-3326GSR — создание L3 маршрутизатора для группы клиентов. Имеем:
1.Порты 1-22 используются для подключения по оптики клиентов. Порт 23 - дополнительные свичи с клиентскими портами и L2 коммутацией. Порт 24 — uplink.
2.Создаю на свиче 128 интерфейсов с IP сетями /28 (10.55.192-199.x) для подключения клиентов.
3.На клиента выделяеться 1 порт в любой из групы свичей, 1 vlan (диапазон 1000-1127) и на DXS-3326GSR поднимаеться его интерфейс.
4.Протокол маршрутизации внутри сети OSPF работает в vlan 12 и только на 24 порту этот vlan представлен. Остальных клиентских портов он не касается.
5.В сети есть специальный vlan id 50 в котором находиться управление всеми свичами и прочим оборудованием, этот vlan так-же поднимается на свиче для целей управления. Клиентов туда не пускаем.

Все настроено кроме ACL'ей.
Соответственно свитч доступен по управлению на всех своих IP интерфейсах, трафик между интерфейсами ходит спокойно и легко.
Хочу настроить следующее:
1) В vlan 50, который служит для управления всем оборудованием узла, запретить forward ip трафика на уровне IP в этот интерфейс из любого другого.
2) Разрешить только пинговать свитч и закрыть все остальное на ip интерфейсах (их 128 штук) которые смотрят в сторону клиента.

Для решения описанной Вами задачи есть специальный функционал - Trusted Host (Subnet), при помощи которого можно разрешить доступ к коммутатору только с определенных IP адресов.
Маршрутизация между подсетями закрывается при помощи IP ACL по Source/Destination IP.

Для закрытия форварда между сегментами IP надо писать CPU ACL или обычные фильтры?
Что поподает в CPU ACL кроме трафика на IP адреса установленные непосредственно на интерфейсах свича?
Например dhcp_relay попадает в CPU ACL?

В Вашем случае нужно использовать обычные ACL, а не CPU ACL. Под действие CPU ACL попадает трафик, обрабатываемый непосредственно процессором.

Что-то немогу придумать ACL правильный.

разрешить трафик с src & dst 10.55.32.0/19 в vlan id 51
остальной трафик в vlan id 51 deny.

То есть пакеты через все порты с
vlan id 51 и src/dst
1.1.1.1 -> 10.55.55.12 deny
10.55.128.70 -> 10.55.63.2 deny
10.55.63.2 -> 10.55.55.12 permit

Влан в правиле и не должен фигурировать, только Source IP и/или Destination IP.

ну а как тогда нам написать простое правило:
src 10.55.32.0/19 & dst 10.55.32.0/19 permit
src 0.0.0.0/0 & dst 10.55.32.0/19 deny
src10.55.32.0/19 & 0.0.0.0/0 any deny

А в чем, собственно, проблема то?
На порты с сетью 10.55.32.0/19 пишете разрешающее от этой сети к ней же, остальное - режете.
На портах с другими сетями режете трафик по dst 10.55.32.0/19.

не очень понятна работа фильтров описана.
вот и немогу я составить такой фильтр.
по логике надо сделать разрешение:
create access_profile ip source_ip_mask 255.255.224.0 destination_ip_mask 255.255.224.0 profile_id 1
config access_profile profile_id 1 add access_id 1 ip source_ip 10.55.32.0 destination_ip 10.55.32.0 port 1 permit
config access_profile profile_id 1 add access_id 2 ip source_ip 10.55.32.0 destination_ip 10.55.32.0 port 2 permit
config access_profile profile_id 1 add access_id 3 ip source_ip 10.55.32.0 destination_ip 10.55.32.0 port 3 permit
config access_profile profile_id 1 add access_id 4 ip source_ip 10.55.32.0 destination_ip 10.55.32.0 port 4 permit
config access_profile profile_id 1 add access_id 5 ip source_ip 10.55.32.0 destination_ip 10.55.32.0 port 5 permit
config access_profile profile_id 1 add access_id 6 ip source_ip 10.55.32.0 destination_ip 10.55.32.0 port 6 permit
config access_profile profile_id 1 add access_id 7 ip source_ip 10.55.32.0 destination_ip 10.55.32.0 port 7 permit
config access_profile profile_id 1 add access_id 8 ip source_ip 10.55.32.0 destination_ip 10.55.32.0 port 8 permit
config access_profile profile_id 1 add access_id 9 ip source_ip 10.55.32.0 destination_ip 10.55.32.0 port 9 permit
config access_profile profile_id 1 add access_id 10 ip source_ip 10.55.32.0 destination_ip 10.55.32.0 port 10 permit
config access_profile profile_id 1 add access_id 11 ip source_ip 10.55.32.0 destination_ip 10.55.32.0 port 11 permit
config access_profile profile_id 1 add access_id 12 ip source_ip 10.55.32.0 destination_ip 10.55.32.0 port 12 permit
config access_profile profile_id 1 add access_id 13 ip source_ip 10.55.32.0 destination_ip 10.55.32.0 port 13 permit
config access_profile profile_id 1 add access_id 14 ip source_ip 10.55.32.0 destination_ip 10.55.32.0 port 14 permit
config access_profile profile_id 1 add access_id 15 ip source_ip 10.55.32.0 destination_ip 10.55.32.0 port 15 permit
config access_profile profile_id 1 add access_id 16 ip source_ip 10.55.32.0 destination_ip 10.55.32.0 port 16 permit
config access_profile profile_id 1 add access_id 17 ip source_ip 10.55.32.0 destination_ip 10.55.32.0 port 17 permit
config access_profile profile_id 1 add access_id 18 ip source_ip 10.55.32.0 destination_ip 10.55.32.0 port 18 permit
config access_profile profile_id 1 add access_id 19 ip source_ip 10.55.32.0 destination_ip 10.55.32.0 port 19 permit
config access_profile profile_id 1 add access_id 20 ip source_ip 10.55.32.0 destination_ip 10.55.32.0 port 20 permit
config access_profile profile_id 1 add access_id 21 ip source_ip 10.55.32.0 destination_ip 10.55.32.0 port 21 permit
config access_profile profile_id 1 add access_id 22 ip source_ip 10.55.32.0 destination_ip 10.55.32.0 port 22 permit
config access_profile profile_id 1 add access_id 23 ip source_ip 10.55.32.0 destination_ip 10.55.32.0 port 23 permit
config access_profile profile_id 1 add access_id 24 ip source_ip 10.55.32.0 destination_ip 10.55.32.0 port 24 permit

а вот как теперь запретить?

Из какой подсети в какую нужно запретить доступ и на каких портах прописан влан, в котором находятся клиенты source сети?

24 порт: vlan12 - uplink, vlan51 - control

23 порт: vlan1023-vlan1128

22 порт: vlan1022
21 порт: vlan1021
...
2 порт: vlan1002
1 порт: vlan1001

в vlan51 должны ходить только адреса 10.55.32.0/255.255.224.0
остальное нас мало волнует.

Как я уже писал, влан назначения не нужно учитывать при составлении правил. На порту, куда подключена Source IP подсеть вы прописываете правила для запрета доступа в Dest IP подсеть примерно таким образом:


Если на одном порту несколько Source подсетей, то дополнительно указываете и Source подсеть в правиле, в случае если для них различные действия:


P.S. Учтите, что правила ACL на этой серии действуют только на входящий в порт трафик. IP адреса Вам естественно нужно в моем примере поменять на свои.