1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Вт авг 19, 2025 11:34

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 8 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
4piligrim
 Заголовок сообщения: DGS-3610-26G ip access-group {id} out
СообщениеДобавлено: Пт фев 05, 2010 21:57 
Не в сети

Зарегистрирован: Сб янв 09, 2010 16:07
Сообщений: 6
Устанавливая свич:
Цитата:
DGS-3610#sh version
System description : DGS-3610-26G Gigabit Ethernet Switch
System start time : 2010-02-04 13:16:31
System uptime : 1:7:20:9
System hardware version : A1.0
System software version : v10.3(5), Release(70398)
System BOOT version : 10.3.70398
System CTRL version : 10.3.70398
Device information:
Device-1
Hardware version : A1.0
Software version : v10.3(5), Release(70398)
BOOT version : 10.3.70398
CTRL version : 10.3.70398


не смог привязать ip access-group {id|name} out на GigabitEthernet 0/2 интерфейс при таком конфиге


Цитата:
DGS-3610(config)#sh running-config

Building configuration...
Current configuration : 3021 bytes

!
version v10.3(5), Release(70398)(Mon Nov 30 20:26:30 CST 2009 -ngcf49)
co-operate enable
!
!
!
!
route-map local permit 10
match ip address 1
set ip next-hop 192.168.132.200
!
vlan 1
!
vlan 2
!
vlan 4
!
!
no service password-encryption
!
ip access-list standard 1
10 permit host 194.116.195.234
20 permit host 192.168.58.6
30 permit host 192.168.58.10
!
!
ip access-list extended 101
10 deny icmp any any
20 permit ip any any
!
!
!
interface GigabitEthernet 0/1
!
interface GigabitEthernet 0/2
no switchport
ip policy route-map local
no ip proxy-arp
ip access-group 101 out
ip address 213.151.2.246 255.255.255.252
!
interface GigabitEthernet 0/3
!
...
!
interface GigabitEthernet 0/8
switchport access vlan 2
!
interface GigabitEthernet 0/9
!
...
!
interface GigabitEthernet 0/13
switchport access vlan 2
!
interface GigabitEthernet 0/14
switchport access vlan 2
!
interface GigabitEthernet 0/15
switchport access vlan 2
!
interface GigabitEthernet 0/16
no switchport
no ip proxy-arp
!
interface GigabitEthernet 0/17
switchport access vlan 2
!
interface GigabitEthernet 0/18
switchport access vlan 2
!
interface GigabitEthernet 0/19
switchport access vlan 2
!
interface GigabitEthernet 0/20
switchport access vlan 2
!
interface GigabitEthernet 0/21
!
interface GigabitEthernet 0/22
switchport access vlan 4
!
interface GigabitEthernet 0/23
!
interface GigabitEthernet 0/24
no switchport
no ip proxy-arp
ip access-group 101 out
ip address 213.151.1.6 255.255.255.248
description Games
!
interface VLAN 1
no ip proxy-arp
!
interface VLAN 2
no ip proxy-arp
ip address 192.168.101.51 255.255.255.240
!
interface VLAN 4
no ip proxy-arp
ip access-group 101 out
ip address 192.168.132.199 255.255.255.240
!
!
!
line con 0
line vty 0 4
login
!
!
end


ip access-list extended 101 с блокировкой icmp взят для теста, на интерфейсах VLAN4 и GigabitEthernet 0/24 ip access-group 101 out отрабатывается, на GigabitEthernet 0/2 цепочка out не работает
отключение ip policy route-map local на GigabitEthernet 0/2 положения не меняет, в документации ответа не нашел, нужен свежий взгляд на проблему...


Последний раз редактировалось 4piligrim Пт фев 05, 2010 23:54, всего редактировалось 3 раз(а).

Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Пт фев 05, 2010 22:42 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
В этой серии и нет ACL на out.
Вернуться наверх
 Профиль  
 
4piligrim
 Заголовок сообщения:
СообщениеДобавлено: Пт фев 05, 2010 22:56 
Не в сети

Зарегистрирован: Сб янв 09, 2010 16:07
Сообщений: 6
странно, руководство DGS-3610_Series_Configuration_Guide_V10.3(5) на странице 54-1 в разделе "54 Access Control List Configuration" говорит обратное, кроме того в двух случаях из трех цепочка out отрабатывается

еще раз проверил (без перезагрузки свича), на SPAN сессии и на машинах в сегментах видна работа команд

DGS-3610(config-if-GigabitEthernet 0/24)#ip access-group 101 out
DGS-3610(config-if-GigabitEthernet 0/24)#no ip access-group 101 out

DGS-3610(config-if-VLAN 4)#ip access-group 101 out
DGS-3610(config-if-VLAN 4)#no ip access-group 101 out

прекращается icmp трафик на Gi0/22 (vlan4) и Gi0/24


DGS-3610(config-if-GigabitEthernet 0/2)#ip access-group 101 out
DGS-3610(config-if-GigabitEthernet 0/2)#no ip access-group 101 out

реакции на движение icmp трафика нет, все проходит


Последний раз редактировалось 4piligrim Сб фев 06, 2010 00:03, всего редактировалось 3 раз(а).

Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Пт фев 05, 2010 23:08 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Вы про ограничения на странице 54-5 читали?
Вернуться наверх
 Профиль  
 
4piligrim
 Заголовок сообщения:
СообщениеДобавлено: Пт фев 05, 2010 23:15 
Не в сети

Зарегистрирован: Сб янв 09, 2010 16:07
Сообщений: 6
Demin Ivan писал(а):
Вы про ограничения на странице 54-5 читали?


For DGS-3610 series, the ACL enabled at the outbounding direction of a physical port or AP port takes effect only for known packets like unicast and multicast packets, not unknown or broadcast packets.

в данном случае речь идет об ip (icmp) трафике, под ограничение не попадаем
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Пт фев 05, 2010 23:18 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Ещё есть одно.
Вернуться наверх
 Профиль  
 
4piligrim
 Заголовок сообщения:
СообщениеДобавлено: Пт фев 05, 2010 23:28 
Не в сети

Зарегистрирован: Сб янв 09, 2010 16:07
Сообщений: 6
спасибо, только сейчас заметил, If you need to match the destination IP address not in the subnet IP range of the associated SVI in the standard IP ACL, extended IP ACL or expert ACL, this ACL will not take effect.

т.е. фильтровать трафик на шлюз по умолчанию придется в in цепочках каждого интерфейса ? лишний расход acl списков...
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Пт фев 05, 2010 23:56 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Именно так к сожалению.
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 8 ] 

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Ivan Karbovskii и гости: 32

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB