Нужна помoщь с ACL

[averin]

Добрый день! Не могу разобраться с acl нужно одно правило запрещающее на все порты кроме аплинков, и разрешающее делать привязки абонентам ip+port но что то не пойму как это сделать((( с делинкими всё понятно а eltex я столкнулся первый раз((

[Евгений Т]

Здравствуйте.

Прошу расписать конкретный пример (какие IP запретить, какие разрешить), чтобы я могу помочь Вам с подбором правил.

[averin]

Нужно правило которое на всех абонентских портах запрещает весь трафик. И при добавлении нового абонента приязывал ip абонента (192.168.12.12) к 1 порту , (192.168.12.11) ко второму.на делинках это реализовано так:

create access_profile ip source_ip_mask 255.255.255.255 profile_id 1
config access_profile profile_id 7 add access_id 1 ip source_ip 192.169.12.12 port 1 permit
config access_profile profile_id 7 add access_id 2 ip source_ip 192.168.12.11 port 2 permit

create access_profile ip source_ip_mask 0.0.0.0 profile_id 2
config access_profile profile_id 8 add access_id 1 ip source_ip 0.0.0.0 port 1 deny
config access_profile profile_id 8 add access_id 2 ip source_ip 0.0.0.0 port 2 deny
.....
config access_profile profile_id 8 add access_id 2 ip source_ip 0.0.0.0 port 25 deny

[Евгений Т]

ip access-list extended gi0/1
permit ip any any 192.169.12.12 0.0.0.0 any
deny ip any any any any (это правило можно и опустить. Оно по дефолту выполнится)
exit
!
int gi 0/1
service-acl input gi0/1

[averin]

а есть ли возможность вешать несколько асл на порт?

[Евгений Т]

Можно вешать IP и MAC acl.
Зачем требуется несколько ACL? Есть дополнительная задача?

[averin]

ну в идеале хотелось бы сперва на всех портах запретить хождение а потом по надобнасть просто добавлять разрешающую ацлку на просто на порт не удаляя запрещающую

[Евгений Т]

Можно просто создать запрещающую, общую для всех портов. А потом вместо неё назначать разрешающую, уникальную для каждого порта.

[averin]

понятно Спасибо