В описании продукта написано что он умеет делать ACL на основе VLAN.
Из документации я не сумел понять как всё же управлять доступом одних Виланов к другим. Мне нужно разрешать либо запрещать доступ одного клиентского VLAN к другим (сервисным) и отдельно разрешать либо запрещать связь между пользовательскими VLAN на коммутаторе. Подскажите как это можно попроще реализовать с максимальной экономией Правил.

1) профиль на влан
разрешить доступ одного влана в другой
правила ...

1) профиль на порт
разрешить доступ на сервисные вланы
немного правил...

2) провиль на порт
запретить всё на пользовательские вланы
1 правило на все пользовательские порты

или у вас так не получается?

топология подключения вланов в свич?

Vlan на пользователя (т.е. теоретически хоть 4к пользователей на нем, но пусть пока будет 1к).

Есть десяток сервисных Vlan, к ним можно разрешить или запретить доступ ажна для 1000 юзверей (1000 другим Vlan). И самое страшное, что нужно запрещать или разрешать связь между самими зверями.

Насколько понимаю нельзя создать список из многих Vlan внутри которого все будут видеть всех, а вне списка не будут??? В противном случае мне не хватит никаких правил.

ну почему же? Правил на свиче До 1790 правил, т.е. на вашу 1к хватит, это что касаемо связи между абонентами


в этом случае проще просто разрешить всем попадать в сервисные вланы, но если нужно, чтобы какой-либо отдельный абонент не попадал в сервисный влан - то проще наверно тупо его влан убить на брасе

Глупый вопрос: А можно то же сделать не создавая каждому пользовательскому Вилану правило, а как либо общим правилом например??? Дело в том что запретить связь просто со всеми VLAN нельзя, обязательно нужно оставить доступ в Интернет, серверу статистики, авторизации - а это тоже несколько VLAN... Боюсь что может и не хватить.



Т.е. чтобы запретить доступ 1000 Виланов к 20 Виланам на ACL, придется создавать 20000 правил и иначе никак??? Считаем что изначально всё разрешено.

Попробуйте схему с Super/SubVlan
Пример топологии в аттаче.
Пример конфигурации:


При такой схеме vlan 10-11 изолированы друг от друга, но могу общаться с аплинком(vlan100) и другими vlan(1001)

А каким образом реализованы Super/SubVlan? Это Q in Q?
Пользователи внутри одного SubVlan всегда видят друг друга или их можно изолировать ? Можно ли трафик из одного субвлана запрещать и для другого субвлана который в другом супервлане и в то же время разрешать трафик между субвланами разных супервланов. Т.е. не просто разрешить всем или запретить всем, а выброчно...

Это не QinQ это механизмы работы в L2 домене.
Пользователи друг друга в одном sub-vlan не видят, они общаются только с SVI SuperVLAN + пользователями других sub-vlan или тем до кого могут дотянуться маршрутизацией. Если на SVI есть ACL, то трафик будет действовать на все входящие пакеты, т.е. возможно создать правило вида:
!
ip access-list extended 110
10 permit icmp host 192.168.3.1 any
20 deny icmp any any
!

и повесить его на SuperVLAN интерфейс:
!
vlan 1000
supervlan
subvlan 10-11
!
!
interface VLAN 1000
no ip proxy-arp
ip access-group 110 in
ip address 192.168.3.100 255.255.255.0
!

Возможно ли обеспечить связь между выборочными или всеми пользователями в subvlan? Пусть даже через SVI SuperVlan?

Можно

Не хочется создавать новый топик.
Никак не выходит победить ACL и более того у меня есть недопонимание механизмов управления таковыми. Сейчас пытаюсь реализовать простую штуку на базе IP ACL:
Есть некий IP которому хочу разрешить доступ только в инет и запретить доступ ко всем другим IP в пределах коммутатора... Думаю сделать так: разрешить ему доступ на IP шлюза коммутатора и запретить на все остальные IP. Для этого нужно создать соответствующее правило и насколько понимаю после этого применить данное правило к интерфейсу (Вилану в моем случае), это нужно сделать так чтобы правило никак не подействовало на другие IP попадающие по маске в этот вилан.
Т.е. у меня в вилане N юзверей и применять правила мне нужно выборочно по IP.

Прошу показать пример с воплощением желаемого. Только пожалуйста в синтаксисе DGS-3610!

traffic segmentation не более подходящ ли?..

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.

Что именно вы имеете в виду?

разрешить доступ порту юзера только к порту шлюза в Интернет; запретить другим портам доступ к порту юзера

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.

В моем случае все порты транковые, и на каждом по N юзверей.