Приветствую.


Гуру, подскажите, правильно ли будут работать следующие ACL на DES-3028/3052:

-------------------------------------
delete cpu access_profile profile_id 1

# Блокируем левый мультикаст трафик (mDNS, LLMNR, Teredo)
create cpu access_profile profile_id 1 ip destination_ip 255.255.255.255
config cpu access_profile profile_id 1 add access_id 1 ip destination_ip 224.0.0.251 port 1-24 deny
config cpu access_profile profile_id 1 add access_id 2 ip destination_ip 224.0.0.252 port 1-24 deny
config cpu access_profile profile_id 1 add access_id 3 ip destination_ip 224.0.0.253 port 1-24 deny
enable cpu_interface_filtering

delete access_profile all

# Разрешаем DHCP
create access_profile ip udp src_port_mask 0xFFFF dst_port_mask 0xFFFF destination_ip_mask 255.255.255.255 profile_id 1
config access_profile profile_id 1 add access_id 1 ip udp src_port 68 dst_port 67 destination_ip 255.255.255.255 port 1-24 permit rx_rate 64

# Запрещаем весь броадкаст трафик
create access_profile ip udp destination_ip_mask 255.255.255.255 profile_id 2
config access_profile profile_id 2 add access_id 1 ip udp destination_ip 255.255.255.255 port 1-24 deny

# Разрешаем работу IP и ARP потокола
create access_profile ethernet ethernet_type profile_id 3
config access_profile profile_id 3 add access_id 1 ethernet ethernet_type 0x0800 port 1-24 permit
config access_profile profile_id 3 add access_id 2 ethernet ethernet_type 0x0806 port 1-24 permit

# Запрещаем ВСЕ остальное
create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 4
config access_profile profile_id 4 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1-24 deny
-------------------------------------

Идея в том, чтобы обрезать все лишнее и ненужное с абонентских портов на свиче доступа (IPX, IPv6, Broadcast, PPPoED, mDNS, Teredo).
Разрешить только IP+ARP, нужный мультикаст, DHCP.

Все ли учтено в этих правилах? Не обрезано ли чего лишнего и нужного?

Вроде всё учтено, но для экономии ACL я рекомендую сделать так:
вместо:
config access_profile profile_id 1 бла-бла-бла port 1-24 deny

сделать:
config access_profile profile_id 1 бла-бла-бла port 25-28 permit
config access_profile profile_id 2 бла-бла-бла port 1-28 deny

Вместо 24 ACL будет использовано 5, ACL работают до первого вхождения.

Мне вот только не понятно, почему для фильтрации мультикаст пакетов - правила нужно писать для CPU. И как узнать - что обрабатывается через CPU, а что через стандартные ACL ?

На 3028 обычные ACL фильтруют мультикаст - проверено на практике, если вам говорят обратное - врут.

Для мультикаста на 3028 нужно следующее:
включить глобально снупинг мультикаста
включить снупинг на всех вланах, присутствующих на свиче - избавит от лишних и левых групп
сделать filter unregistered groups на всех портах и вланах - левый мультикаст не пройдёт - работать будет изумительно

Практикой обычно, обрано всё, что обрабатывается софтовыми фичами свича - идёт в проц, т.е. DHCP,STP, по идее IGMP Snooping, но не всегда и не везде.