Eremin Posted January 6, 2014 (edited) · Report post Доброго времени суток, пните куда рыть для защиты против криворуких хомяков, которые любят приходящий кабель с интернетом воткнуть не в тот порт своего роутера. Разобрался с 3200 серией, 1210-28 серией, эджкорами, а вот с DES -3026 и DES-3250TG не могу построить правила ACL После того, как ввел вот это config access_profile profile_id 1 add access_id 1 ip udp src_port 67 тут нужно дописать всего лишь port 50 permit, но у меня просит выбрать Command: config access_profile profile_id 1 add access_id 1 ip udp src_port 67 Next possible completions: dst_port vlan source_ip destination_ip dscp permit deny чет не могу вкурить как правильнее достроить правило. На дес 3026 построил разрешающее правило, а вот запрещающее не выходит также. Command: config cpu access_profile profile_id 1 add access_id 2 ip udp src_port 67 port 1 deny Duplicate CPU interface filtering access entry Fail Пробовал разные варианты, но ошибка повторяется Подтолкните в правильном направлении пожалуйста, где упустил что? Edited January 6, 2014 by Eremin Share this post Link to post Share on other sites
Eremin Posted January 6, 2014 · Report post Покритикуйте правила которые написал для 3250TG #show access_profile Command: show access_profile Access Profile Table Access Profile ID : 1 Type : IP Frame Filter - UDP Ports : 50 Masks : DSCP Src.P ----- ----- FFFF ID Mode --- ------ ----- ----- 1 Permit xx-xx 67 Access Profile ID : 2 Type : IP Frame Filter - UDP Ports : 1-48 Masks : DSCP Src.P ----- ----- FFFF ID Mode --- ------ ----- ----- 2 Deny xx-xx 67 Total Entries : 2 Share this post Link to post Share on other sites
Negator Posted January 7, 2014 · Report post На дес 3026 построил разрешающее правило, а вот запрещающее не выходит также. config cpu access_profile Правила CPU ACCESS Filtering обрабатывают ТОЛЬКО пакеты предназначенные самому коммутатору! Коммутатор раздавать адреса не может, посему данным правилом сделать то что вам надо не получится. Возможно 3026 серия не умеет обычный ACL. А вообще в длинках в последних прошивках появилось filter dhcp server, который решает все одной командой. Share this post Link to post Share on other sites
Eremin Posted January 7, 2014 · Report post на счет скрининга и фильтра я в курсе, но это старички в которых даже при самой последней прошивке данная функция не появилась, ищу альтернативные пути защиты. В 3250ТГ вроде бы разобрался, а вот с 3026 - беда, видать там нечего подобного нету, ни фильтра, ни ацл Share this post Link to post Share on other sites
Negator Posted January 7, 2014 · Report post На 3026 нет ACL. попробуйте сделать следуюшее: 1. Настройте traffic_segmentation таким образом, чтобы все порты в нем видели только аплинк порт. config traffic_segmentation 1-24 forward_list 25 2. На вышестоящем коммутаторе уже настройте ACL. Таким образом между портами коммутатора абоненты не будут видеть соседей, а все что пойдет в аплинк вы зарежете на вышестоящем коммутаторе. Share this post Link to post Share on other sites
Eremin Posted January 7, 2014 · Report post вариант, благодарю за подсказку Share this post Link to post Share on other sites