Вам нужно настроить пакетные фильтры. См пример, который рассматривается на наших семинарах:
Задача
Код:
Net1 (192.168.1.x) может быть доступной из Net2, Net3, Net4.
Net2, Net3, Net4 не имеют доступ друг к другу
Правила:
Код:
Если Dest. IP=192.168.1.x, то разрешить доступ
Если Src. IP=192.168.1.x, то разрешить доступ
Если DestIP=192.168.2.x и SrcIP=192.168.2.x, то разрешить доступ
Если DestIP=192.168.3.x и SrcIP=192.168.3.x, то разрешить доступ
Если DestIP=192.168.4.x и SrcIP=192.168.4.x, то разрешить доступ
Запретить все остальное
Команды с консоли:
Код:
# создадим правила доступа
# разрешить доступ только к подсети 192.168.1.x из других подсетей
create access_profile ip destination_ip_mask 255.255.255.0 permit profile_id 10
config access_profile profile_id 10 add access_id 11 ip destination_ip 192.168.1.2
create access_profile ip source_ip_mask 255.255.255.0 permit profile_id 20
config access_profile profile_id 20 add access_id 21 ip source_ip 192.168.1.2
# разрешить доуступ внутри подсетей 192.168.2.x, 192.168.3.x и 192.168.2.x.
create access_profile ip source_ip_mask 255.255.255.0 destination_ip_mask 255.255.255.0 permit profile_id 30
config access_profile profile_id 30 add access_id 31 ip source_ip 192.168.2.2 destination_ip 192.168.2.2
config access_profile profile_id 30 add access_id 32 ip source_ip 192.168.3.2 destination_ip 192.168.3.2
config access_profile profile_id 30 add access_id 33 ip source_ip 192.168.4.2 destination_ip 192.168.4.2
#### здесь можно добавить другие сети, при необходимости
# запретить все остальное.
create access_profile ip source_ip_mask 0.0.0.0 deny profile_id 40
config access_profile profile_id 40 add access_id 41 ip source_ip 0.0.0.0
Вместо фильтров по адресам можно создать фильтры по номерам vlan.
Ваши конкретные правила будут другие, тут главное понять принцип построения фильтров.
Вход
Регистрация
FAQ
Поиск
