Настроили маршрутизацию между 3 vlan

На 11 порт сеть для пользователей 10.35.0.0/16, для свичей 10.65.1.0/24
На 12 порт сеть для пользователей 10.55.0.0/16, для свичей 10.65.2.0/24

vlan id=22 (для пользователей), vlan id=33(для пользователей), vlan id=2(для управления свитчами, которые подключены к DGS-3612G)

Вот конфиг vlan
VID : 1 VLAN Name : default
VLAN Type : Static Advertisement : Enabled
Member Ports : 1-10
Static Ports : 1-10
Current Tagged Ports :
Current Untagged Ports: 1-10
Static Tagged Ports :
Static Untagged Ports : 1-10
Forbidden Ports :

VID : 2 VLAN Name : Manage
VLAN Type : Static Advertisement : Disabled
Member Ports : 11-12
Static Ports : 11-12
Current Tagged Ports : 11-12
Current Untagged Ports:
Static Tagged Ports : 11-12
Static Untagged Ports :
Forbidden Ports :

VID : 22 VLAN Name : Abonent
VLAN Type : Static Advertisement : Disabled
Member Ports : 11
Static Ports : 11
Current Tagged Ports : 11
Current Untagged Ports:
Static Tagged Ports : 11
Static Untagged Ports :
Forbidden Ports :

VID : 33 VLAN Name : Abonent2
VLAN Type : Static Advertisement : Disabled
Member Ports : 12
Static Ports : 12
Current Tagged Ports : 12
Current Untagged Ports:
Static Tagged Ports : 12
Static Untagged Ports :
Forbidden Ports :

Вот интерфейсы которые создали:
IP Interface : i11
VLAN Name : Abonent
Interface Admin state : Enabled
IPv4 Address : 10.35.0.100/16 (Manual) Primary
Proxy ARP : Disabled (Local : Disabled)
IP MTU : 1500

IP Interface : i12
VLAN Name : Abonent2
Interface Admin state : Enabled
IPv4 Address : 10.55.0.100/16 (Manual) Primary
Proxy ARP : Disabled (Local : Disabled)
IP MTU : 1500

IP Interface : i111
VLAN Name : Manage
Interface Admin state : Enabled
IPv4 Address : 10.65.1.100/24 (Manual) Primary
Proxy ARP : Disabled (Local : Disabled)
IP MTU : 1500

IP Interface : i122
VLAN Name : Manage
Interface Admin state : Enabled
IPv4 Address : 10.65.2.100/24 (Manual) Secondary
Proxy ARP : Disabled (Local : Disabled)
IP MTU : 1500

IP Interface : System
VLAN Name : default
Interface Admin state : Enabled
IPv4 Address : 10.95.0.6/16 (Manual) Primary
Proxy ARP : Disabled (Local : Disabled)
IP MTU : 1500

Все прекрасно, все маршрктизируется, но...

Так вот вопрос, мы хотим заблокировать доступ к свичам с адресами 10.65.1.0/24 и 10.65.2.0/24 от абонентов, пробовал сделать с помощью acl следющими командами:

create access_profile profile_id 1 ip source_ip_mask 255.255.0.0 destination_ip_mask 255.255.0.0

config access_profile profile_id 1 add access_id 1 ip source_ip 10.35.0.0 destination_ip 10.65.0.0 port all deny

config access_profile profile_id 1 add access_id 2 ip source_ip 10.55.0.0 destination_ip 10.65.0.0 port all deny

Получилось так что из сети 10.65.0.0 мы перестали видеть сеть 10.55.0.0 и 10.35.0.0, и из сетей 10.55.0.0 и 10.35.0.0 перестали видеть сеть 10.65.0.0, но нам бы хотелось чтобы только не выидно было сеть 10.65.0.0, а из нее было видно всех, подскажите в чем наша ошибка.

Сами доступ к свичам будем получать из vlan id=2 и из подсети, которая находится в сети свитчей.

Оо вы что хоть)) если вы закрыли одно из направлений трафика, то естественно между ними не будет маршрутизации. Ни в ту, не в другую сторону. Маршрутизация либо есть, либо её нет.

_________________
LiveComm

Так вот и хочется узнать как закрыть доступ к свичам и при этом не терять доступа к пользовательской подсети

найдите тему "Изолирование управляющей vlan" и будет Вам счастье

ну либо для себя разрешения вписать до запрещающего профиля. либо вообще не блочить и закрывать доступ другим способом.

_________________
LiveComm

а что мешает прописать trusted host?

Решил сделать по своему, создал еще один интерфейс

create ipif iadm 10.80.0.100/16 Manage secondary state enable
то есть сеть 10.80.0.0 есть админская сеть (vlan id=2) ее все видят и они всех видят.

И запретил доступ к сетям свичей из абонентских сетей:
create access_profile profile_id 1 ip source_ip_mask 255.255.0.0 destination_ip_mask 255.255.0.0

config access_profile profile_id 1 add access_id 1 ip source_ip 10.35.0.0 destination_ip 10.65.0.0 port all deny

config access_profile profile_id 1 add access_id 2 ip source_ip 10.55.0.0 destination_ip 10.65.0.0 port all deny

а откуда у тебя вылезла сетка в управляющий вилан 10.80.0.0/16? У тебя я так понимаю была там сетка 10.65.0.0/16

_________________
LiveComm

ну тут я понимаю, но если у него для управления другие сетки, зачем ему эта нужна, вот что не могу понять.

_________________
LiveComm

сеть 10.65.0.0/16 - это сеть в которой находятся другие свитчи L2 не маршритизатор, маршрутизатор можно в принципе также огородить или trusted host

vlan name=Manage, id=2
vlan name=Abonent, id=22
vlan name=Abonent2, id=33

Задача была такова - отгородить доступ к сети 10.65.1.0/24 (vlan id=2) и 10.65.2.0/24 (vlan id=2) к сети (сети в которых находятся свитчи) от сетей 10.55.0.0/16 (vlan id=33) и от сети 10.35.0.0/16(vlan id=22), но при этом необходимо чтобы администратор мог видеть все сети, сеть администратора 10.80.0.0/16 (vlan id=2).

В итоге после добавления правил в ACL (смотрите мой предидущий пост) из сети 10.55.0.0/16 (vlan id=33) и из сети 10.35.0.0/16(vlan id=22) доступ запрещен в сеть 10.65.0.0/16 (то есть во все подсети 10.65 сетки), но они могут видеть сеть 10.80.0.0/16 (в свою очередь сеть 10.80.0.0/16 может видеть сеть 10.65.0.0/16)

В продолжение темы...
Допустим следующую ситуацию
Имеется два коммутатора dgs-3612 (Ну и естественно множество L2 коммутаторов)
1. Это первый коммутатор, на нем он настроен так
На 11 порт сеть для пользователей 10.35.0.0/16, для свичей 10.65.1.0/24
На 12 порт сеть для пользователей 10.55.0.0/16, для свичей 10.65.2.0/24
10 порт соединяется со вторым коммутатором
2. Вот второй коммутатор
На 11 порт сеть для пользователей 10.5.0.0/16, для свичей 10.65.3.0/24
На 12 порт сеть для пользователей 10.15.0.0/16, для свичей 10.65.4.0/24
10 порт соединяется со первым коммутатором

Так вот сам вопрос что и как нужно настроить, чтобы между свичами работала маршрутизация?

Перезвоните пожалуйста в понедельник в офис по телефону 744-00-99 доб.390 или укажите в личку Ваш телефон.