Eremin Опубликовано 6 января, 2014 (изменено) · Жалоба Доброго времени суток, пните куда рыть для защиты против криворуких хомяков, которые любят приходящий кабель с интернетом воткнуть не в тот порт своего роутера. Разобрался с 3200 серией, 1210-28 серией, эджкорами, а вот с DES -3026 и DES-3250TG не могу построить правила ACL После того, как ввел вот это config access_profile profile_id 1 add access_id 1 ip udp src_port 67 тут нужно дописать всего лишь port 50 permit, но у меня просит выбрать Command: config access_profile profile_id 1 add access_id 1 ip udp src_port 67 Next possible completions: dst_port vlan source_ip destination_ip dscp permit deny чет не могу вкурить как правильнее достроить правило. На дес 3026 построил разрешающее правило, а вот запрещающее не выходит также. Command: config cpu access_profile profile_id 1 add access_id 2 ip udp src_port 67 port 1 deny Duplicate CPU interface filtering access entry Fail Пробовал разные варианты, но ошибка повторяется Подтолкните в правильном направлении пожалуйста, где упустил что? Изменено 6 января, 2014 пользователем Eremin Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Eremin Опубликовано 6 января, 2014 · Жалоба Покритикуйте правила которые написал для 3250TG #show access_profile Command: show access_profile Access Profile Table Access Profile ID : 1 Type : IP Frame Filter - UDP Ports : 50 Masks : DSCP Src.P ----- ----- FFFF ID Mode --- ------ ----- ----- 1 Permit xx-xx 67 Access Profile ID : 2 Type : IP Frame Filter - UDP Ports : 1-48 Masks : DSCP Src.P ----- ----- FFFF ID Mode --- ------ ----- ----- 2 Deny xx-xx 67 Total Entries : 2 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 7 января, 2014 · Жалоба На дес 3026 построил разрешающее правило, а вот запрещающее не выходит также. config cpu access_profile Правила CPU ACCESS Filtering обрабатывают ТОЛЬКО пакеты предназначенные самому коммутатору! Коммутатор раздавать адреса не может, посему данным правилом сделать то что вам надо не получится. Возможно 3026 серия не умеет обычный ACL. А вообще в длинках в последних прошивках появилось filter dhcp server, который решает все одной командой. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Eremin Опубликовано 7 января, 2014 · Жалоба на счет скрининга и фильтра я в курсе, но это старички в которых даже при самой последней прошивке данная функция не появилась, ищу альтернативные пути защиты. В 3250ТГ вроде бы разобрался, а вот с 3026 - беда, видать там нечего подобного нету, ни фильтра, ни ацл Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 7 января, 2014 · Жалоба На 3026 нет ACL. попробуйте сделать следуюшее: 1. Настройте traffic_segmentation таким образом, чтобы все порты в нем видели только аплинк порт. config traffic_segmentation 1-24 forward_list 25 2. На вышестоящем коммутаторе уже настройте ACL. Таким образом между портами коммутатора абоненты не будут видеть соседей, а все что пойдет в аплинк вы зарежете на вышестоящем коммутаторе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Eremin Опубликовано 7 января, 2014 · Жалоба вариант, благодарю за подсказку Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...