faq обучение настройка
Текущее время: Чт мар 28, 2024 12:09

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 5 ] 
Автор Сообщение
СообщениеДобавлено: Пн окт 30, 2017 12:55 
Не в сети

Зарегистрирован: Вт фев 24, 2009 20:57
Сообщений: 84
Добрый день!
Имеется коммутатор DGS-3120-24TC B1/RI
К нему подключен отдельный VLAN с видеонаблюдением и VLAN со СКУД.
Встал вопрос, что для видеонаблюдения нужна синхронизация времени, но, в целях безопасности, их сеть надо отделить от рабочих. Поэтому интерфейсы на этих VLAN не создавались.
Подскажите, можно ли как-нибудь сделать так, чтобы устройства в VLAN тогли получать время по NTP/SNTP, но ни они больше никуда, и из других сетей к ним никто не мог получить доступ?
В какую хоть сторону копать? Я так понимаю, что на этих VLAN надо будет поднимать интерфейсы, а вот что дальше? Можно ли как-то указать, что пакеты с этого интерфейса маршрутизировать не надо? Либо как-то еще сделать?
Раньше никогда с такой задачей не сталкивался, не знаю, с чего начать.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт окт 31, 2017 09:51 
Не в сети

Зарегистрирован: Ср окт 10, 2007 15:21
Сообщений: 310
1. поднать интерфейсы,
2. настроить маршрутизацию или указать эти интерфейсы в качестве шлюза,
3. настроить ACL на пропуск из сети СКУД к серверу NTP по порту 123, (остальное будет закрыто по умолчанию на сколько я понимаю).


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср ноя 01, 2017 08:30 
Не в сети

Зарегистрирован: Вт фев 24, 2009 20:57
Сообщений: 84
Добрый день!
Первые 2 пункта бесспорны.
Вся проблема с написать правила.
Как я понимаю, правила бывают 3 видов.
Access - для входящих пакетов
CPU - для пакетов предназначенных для самого маршрутизатора
и EGRESS - для исходящих пакетов.
И мне надо написать такие правила:
Исходящий IP - сеть видео, адрес назначения - сервер SNTP dport 123 - разрешить
Исходящий IP - сеть видео, адрес назначения - любой запретить
Исходящий IP - любой, адрес назначения - сеть видео sport 123 - разрешить
Исходящий IP - любой, адрес назначения - сеть видео запретить

Вот только на рабочей системе, не имея опыта, что-то стремно.
Может кто-нибудь подсказать, где можно посмотреть пример таких правил?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт ноя 02, 2017 10:33 
Не в сети

Зарегистрирован: Ср окт 10, 2007 15:21
Сообщений: 310
1. В коммутаторах D-Link существует два основных типа профилей управления доступом: Ethernet (L2) и IP (L3). Фильтрация в этих типах профилей может выполняться на основе MAC-адресов источника и приемника, VLAN, IP-адресов, номеров портов.
2. Профили доступа работают последовательно, в порядке возрастания их номеров (Profile ID).
3. Пакет проверяется на соответствие условиям, указанным в профилях доступа, начиная с первого профиля. Если профиль подходит, пакет или принимается или отбрасывается и дальше не проверяется.
4. Если не один профиль не подходит, применяется политика по умолчанию, которая разрешает прохождение всего трафика.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт ноя 02, 2017 10:47 
Не в сети

Зарегистрирован: Ср окт 10, 2007 15:21
Сообщений: 310
т.е. по логике Вам надо создать 2 ip "профиля":
1-ый профиль 1-ое правило: это от сети\влана любого порта на 1 айпи и только один порт 123 доступ - разрешить,
2-ой профиль это 2 правила: 1-ая сеть во 2-ую сеть (имеются ввиду те сети, которые будут работать с интерфейсами) - запретить и 2-ое правило: 2-ая сеть в 1-ую сеть - запретить.

после включения ip-интерфейсов маршрутизация между ними будет работать автоматически.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 5 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 39


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB