Вопрос: Разрешение доступа к PPPoE серверу и локальному файловому серверу с помощью ACL

Ответ: 
Задача: Разрешение доступа к PPPoE серверу и локальному файловому серверу с помощью ACL. 
 
На коммутаторе DES-3200-18 необходимо сделать так, чтобы  в определенном VLAN_PPPoE пакеты проходили от портов доступа на Up-Link порты. А так же был доступен локальный файловый сервер, и организована защита от широковещательного трафика со стороны абонентских портов. Где 
 
00-07-7D-FF-32-00 – MAC адрес PPPoE сервера;
00-07-E9-2A-F5-49 – MAC адрес локального файлового сервера;
VID 510 – VLAN_PPPoE.
 
Создаем ACL профиль:
 
Create access_profile ethernet vlan 0xFFF source_mac FF-FF-FF-FF-FF-FF destination_mac FF-FF-FF-FF-FF-FF ethernet_type profile_id 3
 
где source_mac –  MAC адрес источника (в данном случае, подразумевается MACадрес, с которого был отправлен пакет);
destination_mac – MAC адрес назначения (в данном случае, подразумевается MACадрес, на который будет отправлен пакет);
FF-FF-FF-FF-FF-FF – маска MAC-адреса.
 
Создаем разрешающие правила для серверов:
Config access_profile profile_id 3  add access_id 5  ethernet vlan_id 510 source_mac 00-07-7D-FF-32-00 ethernet_type 0x8863    port 17-18 permit
Config access_profile profile_id 3  add access_id 10  ethernet vlan_id 510 source_mac 00-07-7D-FF-32-00 ethernet_type 0x8864    port 17-18 permit
Config access_profile profile_id 3  add access_id 15  ethernet vlan_id 510 source_mac 00-07-E9-2A-F5-49 ethernet_type 0x8863    port 17-18 permit
Config access_profile profile_id 3  add access_id 20  ethernet vlan_id 510 source_mac 00-07-E9-2A-F5-49 ethernet_type 0x8864    port 17-18 permit
Config access_profile profile_id 3  add access_id 25  ethernet vlan_id 510 source_mac 00-07-E9-2A-F5-49 ethernet_type 0x0800    port 17-18 permit
Config access_profile profile_id 3  add access_id 30  ethernet vlan_id 510 source_mac 00-07-E9-2A-F5-49 ethernet_type 0x0806    port 17-18 permit
Config access_profile profile_id 3  add access_id 35  ethernet vlan_id 510 source_mac 00-07-E9-2A-F5-49 ethernet_type 0x1107    port 17-18 permit
Config access_profile profile_id 3  add access_id 40  ethernet vlan_id 510 source_mac 00-07-E9-2A-F5-49 ethernet_type 0x4500    port 17-18 permit
 
В правилах с 5 по 40-е через ethertype разрешены прохождения PADI, PADO, IP протокола, ARP протокола, а так же пропуск DHCP пакетов от серверов к абонентам (набор разрешенных протоколов зависит от того, какие протоколы использует локальный сервер).
 
Создаем разрешающие правила для абонентов:
 
Config access_profile profile_id 3  add access_id 45  ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x8863    port 1-18 permit
Config access_profileprofile_id 3  add access_id 50  ethernet vlan_id 510 destination_mac 00-07-7D-FF-32-00 ethernet_type 0x8863    port 1-16 permit
Config access_profile profile_id 3  add access_id 55  ethernet vlan_id 510 destination_mac 00-07-7D-FF-32-00 ethernet_type 0x8864    port 1-16 permit
Config access_profile profile_id 3  add access_id 60  ethernet vlan_id 510 destination_mac 00-07-E9-2A-F5-49 ethernet_type 0x8863    port 1-16 permit
Config access_profile profile_id 3  add access_id 65  ethernet vlan_id 510 destination_mac 00-07-E9-2A-F5-49 ethernet_type 0x8864    port 1-16 permit
Config access_profile profile_id 3  add access_id 70  ethernet vlan_id 510 destination_mac 00-07-E9-2A-F5-49 ethernet_type 0x0800    port 1-16 permit
Config access_profile profile_id 3  add access_id 75  ethernet vlan_id 510 destination_mac 00-07-E9-2A-F5-49 ethernet_type 0x0806    port 1-16 permit
Config access_profile profile_id 3  add access_id 80  ethernet vlan_id 510 destination_mac 00-07-E9-2A-F5-49 ethernet_type 0x1107    port 1-16 permit
Config access_profile profile_id 3  add access_id 85  ethernet vlan_id 510 destination_mac 00-07-E9-2A-F5-49 ethernet_type 0x4500    port 1-16 permit
 
В 45 правиле разрешаем PADI пакеты на всех портах.
 
В правилах с 50 по 90-е через ethertype разрешены прохождения PADI, PADO, IP протокола, ARP протокола, а так же пропуск DHCP пакетов от абонентов до серверов (набор разрешенных протоколов зависит от того, какие протоколы использует локальный сервер).
 
Создаем запрещающее  правило для абонентов:
 
Config access_profile profile_id 3  add access_id 90  ethernet vlan_id 510  port 1-16 deny
 
Запрещаем весь остальной трафик в PPPoE_VLAN на абонентских портах.