У длинка фигово с точным соблюдением мибов, в плане того что не все значения в мибах корректно обрабатываются или даже не используются.
Поэтому попробуй задать асл через веб, потом просмотреть его через двью и потом задать аналогичный через двью там уже будет видно какие параметры надо править, у меня с SNMP PING только так и получилось.

Продвинулся дальше: уже могу менять правила для packet_content_mask (OID: .1.3.6.1.4.1.171.12.9.4.3.1), но теперь стал интересовать вопрос, а как создать новое правило ? В MiB-ах указан .1.3.6.1.4.1.171.12.9.4.3.1.1 но не удается его менять. Кто-нибудь проходил дальше ?

Господа, подскажите. У меня такая ситуация. Есть VLAN (ы), которые необходимо оставить полностью прозрачными. Т.е. на то, что идет через эти виланы не должны действовать никакаие ограницения. На все прочие виланы и порты ограничения (M$-ные порты, ненужные броадкасты и прочее) действовать должны. Правильно ли я понимаю, что для реализации такого прозрачного вилана я должен самым первым профилем поставить такой:
create access_profile ip vlan profile_id 1
config access_profile profile_id 1 add access_id 1 ip vlan VLAN300 port 3 permit
config access_profile profile_id 1 add access_id 2 ip vlan VLAN300 port 4 permit
config access_profile profile_id 1 add access_id 3 ip vlan VLAN300 port 5 permit

?
Т.е. для 300-го вилана на портах 3-5 я разрешил делать все, что угодно. А дальше пойдут ограничения для "законопослушных" пользователей. Хотя бы такие, как приведены в этой теме в начале.

Да, все так.

А есть ли возможно фильтрации по мак-адресу в данных свитчах?

Ага можно используй packet mask

ничего сложного, элементарно подсматриваются при добавлении правила через D-View:
.1.3.6.1.4.1.171.12.9.2.3.1.14.$p.$id = port number
.1.3.6.1.4.1.171.12.9.2.3.1.15.$p.$id = 4
.1.3.6.1.4.1.171.12.9.2.3.1.[3..7].$p.$id = [mask_0_15 .. mask_64_79]
.1.3.6.1.4.1.171.12.9.2.3.1.13.$p.$id = 2 (permit), 1 (deny)

$p - номер профиля
$id - номер правила

кто использует ACL - поделитесь плиз конфигом, с краткими комментами - многие будут вам очень благодарны
мне вот чуствую совсем немного не хватает для полного просветления ну и вообще, какие полезности и хитрости 3526 вы используете в крупных сетях, провайдерских особо интересно

вот увидел пример полезного скрипта, выложенного на http://wiki.opennet.ru/DES3526

давайте сливать туда полезную инфу по настройкам и другим полезностям - удобней чем на форуме имхо, и оч многим полезно будет

А как добавить НОВОЕ ПРАВИЛО ? и тут идет пример модификации правила, а как модифицировать профиль ? или хотябы как создавать профиль, правила?

Небольшой вопрос:
скажем есть несколько профилей acl
если пакет попал под permit в профиле 1 (т.е. первоначальная обратботка) то пойдет ли он на обработку в профиль 2, или сразу уйдет на выход как удовлетворяющий по условиям?

Любой спивок ACL проверяется до первого совпадения. Потом выполняется действие, указанное в правиле и больше ничего по этому пакету не проверяется.

в первом посте писали: Между прочим лично мне до сих пор не понятно, почему на форумах до сих пор у многих авторов есть устойчивая точка зрения что запретить бродкасты можно лишь разбив подсеть на 2 домена коллизий роутером или L3 свитчем, если такие люди попробуют предложенный мной метод, то поймут, что достаточно иметь в арсенале DES-3526 и слово „бродкаст“ они больше не вспомнят Конечно надо принимать во внимание размеры сети, но спор на предмет „при каком размере сети надо ставить L3 свитч/роутер“ не относятся к данной теме.

есть вопрос: как в дес 3028 с помощью ацл разрешить на порту арп запросы к подсети 10.10.0.1 и запретить все остальные?