Нужно запретить доступ к комутатору для всех кроме выбраных IP включая ICMP протокол.
Нашёл в фаге http://www.dlink.ru/ru/faq/62/209.html но там правило для одно IP а я хочу запретить всем с маской B класса и разрешить только определенным адресам.

Помогите.

Спасибо.

а в чём проблема поставить в профиле маску /16?
И вообще, поищите информацию в интернете о management vlan, это будет намного лучше

Наш админ уволился, сам я не особо в этом давно всё забыл, занимаюсь другим немного.
Нового админа не нашли, щас вирус какой то долбит сегмент так, что пакеты к клиентам теряются и 30 тая серия длинка отваливается.
Сеть сегментирована трафик сегментацией, вланов нет, сам не сделаю щас.
Проанализировать проблему не могу пока свитчи в дауне во время атаки, сейф гуард их вырубает на время шторма.
Как только в сегменте появляется какой то абонент с вирусом начинается ужжос.

Мне бы готовые ацл чтобы я их вбил.

Разъясните, в случае использования отдельного management vlan как правильно выполнить настройку CPU Interface Filtering (и где можно об этом прочитать помимо http://www.dlink.ru/ru/faq/62/209.html)

Да спасибо я это видел, но так как давно этим не занимался я не могу сам точно написать правила.
Кроме того я не использую влан а только трафик сегментацию, нам этого вполне хватает.

MsHOME, это уже мой вопрос)) что бы не плодить новую тему, вот я спрашиваю:
"Разъясните, в случае использования отдельного management vlan как правильно выполнить настройку CPU Interface Filtering (и где можно об этом прочитать помимо http://www.dlink.ru/ru/faq/62/209.html)" может кто ответит

Просто мне нужно запретить доступ всем кроме избранных, чтобы вирусы не нагружали процессор свитча своими icmp запросами.
По идее обычным ACL можно такое сделать, но для этого есnь CPUIF но не пойму как правильно это сделать.

По идее мне нужно create cpu access_profile ip source_ip_mask 255.255.255.128 icmp profile_id 1 так как в этом сегменте у меня максимум железа займут айпишники до 128 адресов.
config cpu access_profile profile_id 1 add access_id 1 ip source_ip 10.90.90.1-10 icmp permit это те адреса котрым разрешён доступ к управлению свитчами.
create cpu access_profile ip source_ip_mask 255.0.0.0 icmp profile_id 2 создаю профиль для блокировки

config cpu access_profile profile_id 2 add access_id 1 ip source_ip ????????? icmp deny а вот тут вопрос, как запретить всем, и насколько я знаю то запрещающий профиль должен быть сверху.
Какую вписать маску или что вместо знаков ?

Новые события.

ICMP ограничил но потерял доступ к управлению свитчем по вебу и по телнету, что не так я сделал ?

себя не разрешил, либо подземный стук, либо очередной глюк реализации CPU ACL либо его фича.

Так всё-таки по поводу management vlan, почему не сделали?
Это структурно решает проблему безопасности, а всякие ACL это костыли.

Да себя и не только как раз и разрешил, есть ещё snmp server админ для мониторинга и.т.д.

У меня все management vlan имеют адресацию 172.16.0.0/16, хомячки сидят на других IP адресах.
И management vlan, и хомячковые вланы маршрутизируются на одних и тех-же 3627 и его аналогах, на которых есть вот такие ACL:

create access_profile profile_id 1 ip source_ip_mask 255.255.0.0 destination_ip_mask 255.255.0.0
config access_profile profile_id 1 add access_id auto_assign ip source_ip 172.16.0.0 destination_ip 172.16.0.0 port 1-27 permit rx_rate no_limit
create access_profile profile_id 2 ip destination_ip_mask 255.255.0.0
config access_profile profile_id 2 add access_id auto_assign ip destination_ip 172.16.0.0 port 1-27 deny

Теоретически, если на свиче есть интерфейсы на хомячков и на management vlan's, то хомячок может попасть на свич доступа. Но эти ACL такой трафик блокируют.

И мне на коммутаторах доступа не нужны ни CPU ACL, ни trusted host, что существенно облегчает управление достаточно большим парком оборудования.

A ICMP запросы то всёравно попадают на процессор комутатора, что в случае шторма вирусами создаст нагрузку.

Я переделал чуть правило, буду испытывать.
ip_mask 255.255.255.255
И кроме того я обнаружил что в ipif свитча была другая маска 255.255.255.0 может это было проблемой из за чего пропал доступ к управлению.

Админы, где вы, отзовитесь !