[sveter2002]

Как Создать acl, который запретит прохождение не PPPoE пакетов на SNR 2940?

ниже приведен пример для D-Link. Подскажите как это реализовать для SNR

 

 

 

Создать acl, который запретит прохождение не PPPoE пакетов в USER vlan'е (блокируем DHCP, IP, ARP и все остальные ненужные протоколы, которые позволят пользователям общаться напрямую между собой, игнорируя PPPoE сервер).

 

create access_profile ethernet vlan 0xFFF ethernet_type profile_id 1

 

config access_profile profile_id 1 add access_id 1 ethernet vlan USER ethernet_type 0x8863 port 1-10 permit

 

config access_profile profile_id 1 add access_id 2 ethernet vlan USER ethernet_type 0x8864 port 1-10 permit

 

config access_profile profile_id 1 add access_id 3 ethernet vlan USER port 1-10 deny

 

 

 

Создать ACL, который запретит PPPoE PADO пакеты с клиентских портов (блокируем поддельные PPPoE сервера).

 

create access_profile packet_content_mask offset1 l2 0 0xFFFF offset2 l3 0 0xFF profile_id 2

 

config access_profile profile_id 2 add access_id 1 packet_content offset1 0x8863 offset2 0x0007 port 1-8 deny

[sveter2002]

sveter2002 Настроил...........но пропускает любые пакеты. Что не так?

Switch(config)#

mac-access-list extended pp1 (used 0 time(s)) 3 rule(s)

permit any-source-mac any-destination-mac ethertype 8863 65535

permit any-source-mac any-destination-mac ethertype 8864

deny any-source-mac any-destination-mac

xit

#interface eth1/1

mac access-group pp1

#end

[Vasiri]

sveter2002 Настроил...........но пропускает любые пакеты. Что не так?

Switch(config)#

mac-access-list extended pp1 (used 0 time(s)) 3 rule(s)

permit any-source-mac any-destination-mac ethertype 8863 65535

permit any-source-mac any-destination-mac ethertype 8864

deny any-source-mac any-destination-mac

xit

#interface eth1/1

mac access-group pp1

#end

ethertype = 34915 (0x8863)

ethertype = 34916 (0x8864)

[ShyLion]

там еще сервис firewall включить надо, по моему, посмотри в мануале как точно.