Ответ:
1) Что такое CPU Interface Filtering?
В текущей версии аппаратной платформы коммутаторов D-Link, некоторые пакеты, полученные коммутатором, должны быть направлены на обработку в CPU и эти пакеты не могут быть отфильтрованы аппаратными ACL. Например, пакет, в котором MAC-адрес назначения - это MAC-адрес коммутатора. (ping на IP-адрес коммутатора)
Решение: CPU Interface Filtering. (Software ACL)
2) Схема сети:
- PC2 имеет доступ к PC3.
- PC3 имеет доступ к коммутатору.
- PC2 не имеет доступа к коммутатору.
Задача: PC2 имеет доступ к PC3, но PC2 не имеет доступа к коммутатору. PC3 имеет доступ и к PC2 и к коммутатору.
3) # Создайте профиль ACL для интерфейса CPU - процесс очень похож на создание обычного профиля ACL.
# Сначала включите CPU Interface Filtering и создайте профиль, соответствующий заданию.
enable cpu_interface_filtering
create cpu access_profile ip source_ip_mask 255.255.255.128 icmp profile_id 1
config cpu access_profile profile_id 1 add access_id 1 ip source_ip 10.31.3.2 icmp deny
Command: show cpu access_profile
CPU Access Profile Table
CPU Access Profile ID : 1
Type : IP Frame Filter - ICMP
Masks :
Source IP Addr DSCP
--------------- -----
255.255.255.255
CPU Access ID: 1
Mode : Deny
--------------- -----
10.31.3.2 xx-xx
DES-3526:4#show access_profile
Command: show access_profile
В списке стандартных ACL профилей записей нет.
4) Результаты теста:
- Перед активацией функции CPU interface filtering, PC2 имеет доступ к коммутатору и PC3.
- После включения функции CPU interface, PC2 имеет доступ только к PC3.