EDGESWITCH 10X проблема с access list | Ubiquiti форум UBNT: инструкции, настройка

EDGESWITCH 10X проблема с access list

static.vv

новичок
13 Фев 2019
3
0
3
36
Доброго времени суток уважаемые! Помогите разобраться как это тут будет работать и как настроить подобное - есть локальная сеть, разделеная vlan. в 100 влане работает IPTV, в 103 pppoe абонентов и !некоторые железки абонентов на управление. Задача в следующем - в 100 влане разрешить только нужные нам маки приставок iptv, все остальное запретить. в 103 влане разрешить только pppoe arp и !управление роутеров в сети допустим 172.25.0.0.
Свитч по функциональности выводимой в CLI получается L2, хотя точную информацию так и не нашел, но один из коллег утверждает что можно как то включить функциональность L3(тоже не нашел). Так вот раз он L2, то на влан ACL повесить не получается, вот тут и проблема - делаю такие ACL
mac acl "100_103"
sequence 2 permit 00:02:02:00:00:00/FF:FF:FF:00:00:00 any vlan 100
sequence 4 deny any any vlan 100
sequence 5 permit any any vlan 103 ethtype 0x8863
sequence 6 permit any any vlan 103 ethtype 0x8864
sequence 7 permit any any vlan 103 ethtype 0x806
sequence 8 permit any any vlan 103 ethtype 0x800
ip acl "103"
sequence 23 permit ip 172.25.0.0/255.255.0.0 172.25.0.0/255.255.0.0
sequence 43 deny ip any any
и вешаю обе ацл на порт.
в L3 свитчах вешаю ip acl "103" на сам vlan103 и ес-но все работает как положено. Абоненты могут только подключаться к pppoe и дальше как заблагорассудится, а я могу управлять железками в сети 172.25.0.0.
Но тут при подключении ip acl "103" на порт, сеть 172.25.0.0 на управление доступна, но ничего не работает в 500 влане. Как я понимаю тут происходит следующее - пакет прилетает от iptv приставки на порт и сначала обрабатывается MAC ACL и в первом же правиле видит, что по МАКмаске приставке разрешено куда угодно и по идее пропускает его дальше, НО похоже после этого за дело берется IP ACL(вот нафига спрашивается), который видит, что пакет вообще широковещательный и отбрасывает его. Правильно ли я понимаю? реализация у разных вендоров разная, и у некоторых при первом совпадении! в ацл пакет улетает дальше и больше ничем не проверяется. Но тут похоже ситуация такая. Мануал для этого свитча только для веб интерфейса, где сделать толком нельзя ничего. про CLI вообще ничего нет. Прошу за АЦЛ не ругать, знаю и вижу в ней "моментики", но на другом железе все работает как задуманно. Вот и сижу думаю что можно сделать и как с этим побороться. Знатоки может посоветуете чего-нить по делу. Так же интересно, действительно ли есть секретная команда, включающая больший функционал. Прошу отвечать по делу и без советов типа "купите др свитч"