1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Вс апр 28, 2024 14:22

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 3 из 8
  [ Сообщений: 120 ]  На страницу Пред.  1, 2, 3, 4, 5, 6 ... 8  След.
  Предыдущая тема | Следующая тема 
Автор Сообщение
Bigarov Ruslan
 Заголовок сообщения: Re: DXS-3600-32S и ARP-запросы к нему
СообщениеДобавлено: Вт фев 25, 2014 15:45 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
Ясно. Спасибо за комментарий.

_________________
С уважением,
Бигаров Руслан.
Вернуться наверх
 Профиль  
 
Bigarov Ruslan
 Заголовок сообщения: Re: DXS-3600-32S и ARP-запросы к нему
СообщениеДобавлено: Чт фев 27, 2014 15:52 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
Alexey Mishenko писал(а):
Нет, нужно чтоб ACL можно было повесить на interface vlan


Добрый день.

Хочу уточнить: Вы хотите фильтровать трафик, который приходит на IP интерфейс VLAN-а или транзитный трафик в VLAN-е?

_________________
С уважением,
Бигаров Руслан.
Вернуться наверх
 Профиль  
 
Chupaka
 Заголовок сообщения: Re: DXS-3600-32S и ARP-запросы к нему
СообщениеДобавлено: Чт фев 27, 2014 15:57 
Не в сети

Зарегистрирован: Вт июн 17, 2008 18:59
Сообщений: 1203
Откуда: Минск, Беларусь
второе было бы вообще отлично. а если при этом навешенную на VLAN ACL можно было бы ещё и зеркалировать - совсем конфетка получилась бы =)

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.
Вернуться наверх
 Профиль  
 
Alexey Mishenko
 Заголовок сообщения: Re: DXS-3600-32S и ARP-запросы к нему
СообщениеДобавлено: Чт фев 27, 2014 15:59 
Не в сети

Зарегистрирован: Чт сен 08, 2011 04:59
Сообщений: 1630
Откуда: Алтайский край, Барнаул
Bigarov Ruslan писал(а):
Alexey Mishenko писал(а):
Нет, нужно чтоб ACL можно было повесить на interface vlan


Добрый день.

Хочу уточнить: Вы хотите фильтровать трафик, который приходит на IP интерфейс VLAN-а или транзитный трафик в VLAN-е?
на интерфейс.
Вернуться наверх
 Профиль  
 
Bigarov Ruslan
 Заголовок сообщения: Re: DXS-3600-32S и ARP-запросы к нему
СообщениеДобавлено: Чт фев 27, 2014 16:01 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
Chupaka писал(а):
второе было бы вообще отлично. а если при этом навешенную на VLAN ACL можно было бы ещё и зеркалировать - совсем конфетка получилась бы =)


Второе делается через vlan filter

Alexey Mishenko писал(а):
на интерфейс.


Спасибо. Продолжу общаться с разработчиками.

_________________
С уважением,
Бигаров Руслан.
Вернуться наверх
 Профиль  
 
Chupaka
 Заголовок сообщения: Re: DXS-3600-32S и ARP-запросы к нему
СообщениеДобавлено: Чт фев 27, 2014 16:05 
Не в сети

Зарегистрирован: Вт июн 17, 2008 18:59
Сообщений: 1203
Откуда: Минск, Беларусь
Bigarov Ruslan писал(а):
Второе делается через vlan filter

оу, спасибо. но там match mac, я так понимаю, тоже ловит лишь не-IP-трафик, и надо ждать ответа по MAC ACL?

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.
Вернуться наверх
 Профиль  
 
Bigarov Ruslan
 Заголовок сообщения: Re: DXS-3600-32S и ARP-запросы к нему
СообщениеДобавлено: Чт фев 27, 2014 16:06 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
Alexey Mishenko писал(а):
на интерфейс.


Да, забыл ещё уточнить: Вы хотите фильтровать доступ к управлению коммутатором или какие-то другие задачи решать? Пожалуйста, распишите более подробно. Заранее спасибо.

_________________
С уважением,
Бигаров Руслан.
Вернуться наверх
 Профиль  
 
Bigarov Ruslan
 Заголовок сообщения: Re: DXS-3600-32S и ARP-запросы к нему
СообщениеДобавлено: Чт фев 27, 2014 16:13 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
Chupaka писал(а):
оу, спасибо. но там match mac, я так понимаю, тоже ловит лишь не-IP-трафик, и надо ждать ответа по MAC ACL?


Не только, из мана:
A VLAN access map can contain multiple sub-maps. For each sub-map, one access list (IP access list, IPv6 access list or MAC access list) can be specified and one action can be specified. After a VLAN access map is created, the user can use the vlan filter command to apply the access map to VLAN(s).

_________________
С уважением,
Бигаров Руслан.
Вернуться наверх
 Профиль  
 
Alexey Mishenko
 Заголовок сообщения: Re: DXS-3600-32S и ARP-запросы к нему
СообщениеДобавлено: Чт фев 27, 2014 16:33 
Не в сети

Зарегистрирован: Чт сен 08, 2011 04:59
Сообщений: 1630
Откуда: Алтайский край, Барнаул
Bigarov Ruslan писал(а):
Alexey Mishenko писал(а):
на интерфейс.


Да, забыл ещё уточнить: Вы хотите фильтровать доступ к управлению коммутатором или какие-то другие задачи решать? Пожалуйста, распишите более подробно. Заранее спасибо.
Сейчас у меня используется схема влан-на-дом. Абоненты получают серые IP и поднимают vpn туннель до сервера. Стоят коммуататоры 3612/3627/3620, на них поднято 100-200 ipif'ов. На кластерах стоят 3120. Хочу вместо 3620 поставить 3600, а на кластера поставить 3420. ACL'ы нужны чтоб абоненты не видели "лишнего"
Вернуться наверх
 Профиль  
 
Chupaka
 Заголовок сообщения: Re: DXS-3600-32S и ARP-запросы к нему
СообщениеДобавлено: Чт фев 27, 2014 16:38 
Не в сети

Зарегистрирован: Вт июн 17, 2008 18:59
Сообщений: 1203
Откуда: Минск, Беларусь
Bigarov Ruslan писал(а):
Chupaka писал(а):
оу, спасибо. но там match mac, я так понимаю, тоже ловит лишь не-IP-трафик, и надо ждать ответа по MAC ACL?


Не только, из мана:
A VLAN access map can contain multiple sub-maps. For each sub-map, one access list (IP access list, IPv6 access list or MAC access list) can be specified and one action can be specified. After a VLAN access map is created, the user can use the vlan filter command to apply the access map to VLAN(s).

я имею в виду, что по MAC-адресу можно ловить только через MAC ACL, а они IP-трафик пока что не ловят

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.
Вернуться наверх
 Профиль  
 
Bigarov Ruslan
 Заголовок сообщения: Re: DXS-3600-32S и ARP-запросы к нему
СообщениеДобавлено: Чт фев 27, 2014 17:18 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
Alexey Mishenko писал(а):
Сейчас у меня используется схема влан-на-дом. Абоненты получают серые IP и поднимают vpn туннель до сервера. Стоят коммуататоры 3612/3627/3620, на них поднято 100-200 ipif'ов. На кластерах стоят 3120. Хочу вместо 3620 поставить 3600, а на кластера поставить 3420. ACL'ы нужны чтоб абоненты не видели "лишнего"


Так эта задача решается ещё на коммутаторах доступа, а не на агрегаторе. У Вас на доступе какие коммутаторы?

_________________
С уважением,
Бигаров Руслан.
Вернуться наверх
 Профиль  
 
Alexey Mishenko
 Заголовок сообщения: Re: DXS-3600-32S и ARP-запросы к нему
СообщениеДобавлено: Пт фев 28, 2014 03:57 
Не в сети

Зарегистрирован: Чт сен 08, 2011 04:59
Сообщений: 1630
Откуда: Алтайский край, Барнаул
Bigarov Ruslan писал(а):
Alexey Mishenko писал(а):
Сейчас у меня используется схема влан-на-дом. Абоненты получают серые IP и поднимают vpn туннель до сервера. Стоят коммуататоры 3612/3627/3620, на них поднято 100-200 ipif'ов. На кластерах стоят 3120. Хочу вместо 3620 поставить 3600, а на кластера поставить 3420. ACL'ы нужны чтоб абоненты не видели "лишнего"


Так эта задача решается ещё на коммутаторах доступа, а не на агрегаторе. У Вас на доступе какие коммутаторы?
В том то и дело, что его только нету.....И процентов 30% из этого вообще не знает что такое ACL

Такой функционал в любом случае необходим, если этот коммутатор позиционируется как Л3
Вернуться наверх
 Профиль  
 
Bigarov Ruslan
 Заголовок сообщения: Re: DXS-3600-32S и ARP-запросы к нему
СообщениеДобавлено: Пт фев 28, 2014 10:27 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
Добрый день.

Alexey Mishenko писал(а):
В том то и дело, что его только нету.....И процентов 30% из этого вообще не знает что такое ACL


Есть же достаточно бюджетные модели доступа с поддержкой ACL и других необходимых функций для провайдера:
DES-1210-10/ME/B1
DES-1210-26/ME/B1
DES-1210-28/ME/B2

а также гигабитные:
DGS-1100-06/ME
DGS-1210-28/ME - планируется в ближайшем будущем

Цитата:
Такой функционал в любом случае необходим, если этот коммутатор позиционируется как Л3


В этом функционале не будет смысла, если это будет Software ACL. Я переговорю с разработчиками, и если это не будет аппаратное решение, тогда останется только использовать vlan filter.

_________________
С уважением,
Бигаров Руслан.
Вернуться наверх
 Профиль  
 
Bigarov Ruslan
 Заголовок сообщения: Re: DXS-3600-32S и ARP-запросы к нему
СообщениеДобавлено: Пт фев 28, 2014 13:32 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
2 Alexey Mishenko > Я протестировал VACL на DXS-3600-32S.

1. Первый тест.
Скрытый текст: показать
Код:
con t
prompt DXS-3600-32S
vlan 100
exit
int vlan 1
ip add 192.168.1.1 255.255.255.0
exit
int vlan 100
ip add 192.168.10.1 255.255.255.0
exit
int ran eth 1/0/1-1/0/2
switch mode trunk
switch trunk all vlan rem 1-99,101-4094
exit
ip access-list extended vf 2000
10 permit 192.168.10.0 0.0.0.255 192.168.10.1 0.0.0.0
20 permit 192.168.10.0 0.0.0.255 192.168.1.0 0.0.0.255
exit
ip access-list extended vf2 2001
10 permit 192.168.10.0 0.0.0.255 any
exit
vlan access-map vfd 10
match ip address 2000
action forward
exit
vlan access-map vfd 20
match ip address 2001
action drop
exit
vlan filter vfd vlan-list 100
end

Результат:
Скрытый текст: показать
Код:
DGS-3620-28SC:admin#ping 192.168.10.30
Command: ping 192.168.10.30

Request timed out.
Request timed out.
Request timed out.

 Ping Statistics for 192.168.10.30
 Packets: Sent =4, Received =0, Lost =4


DGS-3620-28SC:admin#ping 192.168.10.1
Command: ping 192.168.10.1

Reply from 192.168.10.1, time<10ms
Reply from 192.168.10.1, time=50ms
Reply from 192.168.10.1, time<10ms

 Ping Statistics for 192.168.10.1
 Packets: Sent =3, Received =3, Lost =0


DGS-3620-28SC:admin#ping 192.168.1.1
Command: ping 192.168.1.1

Reply from 192.168.1.1, time<10ms
Reply from 192.168.1.1, time=70ms
Reply from 192.168.1.1, time<10ms
Reply from 192.168.1.1, time<10ms

 Ping Statistics for 192.168.1.1
 Packets: Sent =4, Received =4, Lost =0


DGS-3620-28SC:admin#ping 192.168.1.15
Command: ping 192.168.1.15

Reply from 192.168.1.15, time<10ms
Reply from 192.168.1.15, time<10ms
Reply from 192.168.1.15, time<10ms
Reply from 192.168.1.15, time<10ms

 Ping Statistics for 192.168.1.15
 Packets: Sent =4, Received =4, Lost =0


DGS-3620-28SC:admin#


2. Второй тест.
Скрытый текст: показать
Код:
con t
prompt DXS-3600-32S
vlan 100
exit
int vlan 1
ip add 192.168.1.1 255.255.255.0
exit
int vlan 100
ip add 192.168.10.1 255.255.255.0
exit
int ran eth 1/0/1-1/0/2
switch mode trunk
switch trunk all vlan rem 1-99,101-4094
exit
ip access-list extended vf 2000
10 permit 192.168.10.0 0.0.0.255 192.168.10.1 0.0.0.0
exit
ip access-list extended vf2 2001
10 permit 192.168.10.0 0.0.0.255 any
exit
vlan access-map vfd 10
match ip address 2000
action forward
exit
vlan access-map vfd 20
match ip address 2001
action drop
exit
vlan filter vfd vlan-list 100
end

Результат:
Скрытый текст: показать
Код:
DGS-3620-28SC:admin#ping 192.168.10.30
Command: ping 192.168.10.30

Request timed out.
Request timed out.
Request timed out.

 Ping Statistics for 192.168.10.30
 Packets: Sent =4, Received =0, Lost =4


DGS-3620-28SC:admin#ping 192.168.1.1 
Command: ping 192.168.1.1

Request timed out.
Request timed out.
Request timed out.

 Ping Statistics for 192.168.1.1
 Packets: Sent =4, Received =0, Lost =4


DGS-3620-28SC:admin#ping 192.168.1.15
Command: ping 192.168.1.15

Request timed out.
Request timed out.
Request timed out.

 Ping Statistics for 192.168.1.15
 Packets: Sent =4, Received =0, Lost =4


DGS-3620-28SC:admin#ping 192.168.10.1
Command: ping 192.168.10.1

Reply from 192.168.10.1, time<10ms
Reply from 192.168.10.1, time<10ms
Reply from 192.168.10.1, time<10ms

 Ping Statistics for 192.168.10.1
 Packets: Sent =3, Received =3, Lost =0


DGS-3620-28SC:admin#


Вывод: VACL на DXS-3600-32S может решить вашу задачу по фильтрации трафика.

_________________
С уважением,
Бигаров Руслан.
Вернуться наверх
 Профиль  
 
Alexey Mishenko
 Заголовок сообщения: Re: DXS-3600-32S и ARP-запросы к нему
СообщениеДобавлено: Сб мар 01, 2014 06:08 
Не в сети

Зарегистрирован: Чт сен 08, 2011 04:59
Сообщений: 1630
Откуда: Алтайский край, Барнаул
Значит будем повторно запрашивать на тест, только дождёмся когда проблему ARP решат
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 3 из 8
  [ Сообщений: 120 ]  На страницу Пред.  1, 2, 3, 4, 5, 6 ... 8  След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 188

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB