Создавайте ip access-list extended

я правильно прописываю команды, чтобы закрыть доступ всем компьютерам только к порту 445..? или нужны еще и разрешающие правила?
DGS-3610(config)# ip access-list extended ip-tcp-udp
DGS-3610(config-ext-nacl)# deny tcp any eq 445 any
DGS-3610(config-ext-nacl)# deny udp any eq 445 any
DGS-3610(config-ext-nacl)#exit
DGS-3610(config)#interface range gigabitethernet 0/1-24
DGS-3610(config-if)#ip access-group ip-tcp-udp in
DGS-3610(config-if)#ip access-group ip-tcp-udp in

не перекрываются порты 445, 137,138,139.....по этим портам идет обнаружение компьютеров в сети, но ничего не происходит, как работало все, так и работает...все устройства видны...
Создал вот эти правила и присвоил их на все интерфейсы...
DGS-3610(config)#show access-list

ip access-list extended ip-tcp-udp
10 deny tcp any any eq 445
20 deny udp any any eq 445
30 permit ip any any
40 deny udp any any eq netbios-ns
50 deny tcp any any eq 137
60 deny tcp any any eq 138
70 deny udp any any eq netbios-dgm
80 deny udp any any eq netbios-ss
90 deny tcp any any eq 139
DGS-3610(config)#

Alexnitro777
Скажите мне, пожалуйста, какой смысл писать строки, начиная с 40й с правилами deny, если на 30й у вас permit ip any any?
У вас в 30е правило попадают все пакеты кроме tcp udp 445, и дальше они уже не проверяются.

вместо
30 permit ip any any
90 deny tcp any any eq 139
нужно
30 deny tcp any any eq 139
90 permit ip any any

_________________
2008-2015г. компания Экстрим Интернет. Технический директор/Главный системный администратор.
2015-по н.в. компания "Подряд". Инженер сети ШПД

Здравствуйте! к данному коммутатору подключены коммутаторы доступа DES-3200-28 и один такой же DGS-3610-26G. Ни с того ни с сего...перестали пинговаться коммутаторы, через какое-то время пинговались, потом опять переставали. Сам DGS-3610 пингуется периодически с потерями, если патч-кордом напрямую соединяешься....причем и один и второй. В сети используем 1 VLAN. Работают они пол-года, в чем проблема?

Alexnitro777
Сегментируйте сеть на vlan, убирайте через acl мусор, идущий от абонентов - чтобы все это не сыпалось на агрегатор.

У нас к DGS-3610-26G подключены сервер биллинга, роутер и ноутбук, пинг проходит от ноутбука до роутера, от роутера до сервера, ноут не пингует сервер, интерфейс на коммутаторе начинает пинговаться с задержкой и зависанием, со 2-ого раза идет все нормально. На DGS-3610 могло что-нибудь в памяти засориться?

Добрый день! Имеется сеть 192.168.0.0/16 с двумя серверами - 192.168.0.1 и 192.168.0.3, каждый из которых выступал шлюзом для своей части хостов в сети. Сейчас требуется эти сервера убрать, и свести маршрутизацию через данный свитч. Но обнаружился очень странный баг. Сеть заходит на свитч в 49-м влане. Вот в интерфейсе на 49-м влане пытаемся прописать два адреса, второй алиасом:

DGS-3610(config-if-VLAN 49)#ip address 192.168.0.1 255.255.0.0
DGS-3610(config-if-VLAN 49)#ip address 192.168.0.3 255.255.0.0 secondary
IP address conflict with "VLAN 49".

Почему не получается прописать на одном интерфейсе второй адрес из той же подсети? Возможно, как-то неправильно пытаюсь это сделать? На любом линуксе это сделать можно, на циске тоже, а здесь такое недоразумение.

PS. Установить на всех хостах в сети одинаковый шлюз физически невозможно, т.к. она очень большая.