1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Сб ноя 01, 2025 00:15

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 5 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
fl
СообщениеДобавлено: Пт май 27, 2005 11:34 
Не в сети

Зарегистрирован: Пн янв 24, 2005 17:01
Сообщений: 12
Откуда: Moscow
Подскажите, как можно вынести управление коммутатором в отдельный VLAN?

Например,
DGS-3324SR:4#show switch
Command: show switch

Device Type : DGS-3324SR Stackable Ethernet Switch
Unit ID : 1
MAC Address : 00-11-95-A5-8C-00
IP Address : 192.168.0.133 (Manual)
VLAN Name : VLAN110
Subnet Mask : 255.255.255.0
Default Gateway : 0.0.0.0
Boot PROM Version : Build 2.01-B01
Firmware Version : Build 4.10-B15
Hardware Version : 3A1
Device S/N :
System Name : Switch 13-1
System Location : 13-400
System Contact :
Spanning Tree : Disabled
GVRP : Disabled
IGMP Snooping : Enabled
RIP : Disabled
DVMRP : Disabled
PIM-DM : Disabled
OSPF : Disabled
TELNET : Enabled (TCP 23)
WEB : Enabled (TCP 80)
RMON : Disabled
SSL status : Disabled
SSH status : Disabled
802.1x : Disabled
Jumbo Frame : Off
Clipaging : Disabled
MAC Notification : Disabled
Port Mirror : Disabled
SNTP : Disabled
Bootp Relay : Disabled
DNSR Status : Disabled
VRRP : Disabled
HOL Prevention State : Enabled
Syslog Global State : Disabled
Single IP Management : Disabled
Dual Image : Supported

Но у коммутатора есть ещё и другие интерфейсы:
DGS-3324SR:4#show ipif
Command: show ipif

IP Interface Settings

Interface Name : GW-13
Secondary : FALSE
IP Address : 172.16.64.3 (MANUAL)
Subnet Mask : 255.255.0.0
VLAN Name : VLAN100
Admin. State : Enabled
Link Status : Link UP
Member Ports : 1:5,1:17-1:20,1:22-1:24

Interface Name : System
Secondary : FALSE
IP Address : 192.168.0.133 (MANUAL)
Subnet Mask : 255.255.255.0
VLAN Name : VLAN110
Admin. State : Enabled
Link Status : Link UP
Member Ports : 1:11,1:22-1:24

Total Entries : 2

При этом управление для него доступно как по 192.168.0.133, так и по 172.16.64.3

На коммутаторах серии DES-3x26, автоматически управлять разрешается только с интерфейса System, а тут видимо нужно как-то прописывать ACL?

Настроки trusted_host не подходят, так как в этом случае нет гарантии, что управление не идёт с подставного IP, кроме того, управление ограничивается на клиенте, то есть потенциально можно управление завалить DoS-атакой или ещё какими-нибудь хитрыми запросами.
Вернуться наверх
 Профиль  
 
Vladislav Karagezov
СообщениеДобавлено: Пт май 27, 2005 11:36 
Не в сети

Зарегистрирован: Вс авг 17, 2003 12:18
Сообщений: 4387
Откуда: Moscow
Почитайте мануал, там написано как на ipif System задать управляющий VLAN.

_________________
С уважением, Карагезов Владислав
Вернуться наверх
 Профиль  
 
fl
 Заголовок сообщения:
СообщениеДобавлено: Пт май 27, 2005 11:48 
Не в сети

Зарегистрирован: Пн янв 24, 2005 17:01
Сообщений: 12
Откуда: Moscow
- 33 - из мануала

VLAN Name
Цитата:
В данное поле можно ввести имя VLAN, из которой станции управления будет позволено управлять коммутатором по протоколам стека TCP/IP (через web-интерфейс или Telnet). Станции управления, находящиеся в VLAN, отличных от введенной в поле VLAN Name, не будут иметь возможность управлять коммутатором по сети до тех пор, пока их IP-адреса не будут введены в меню Security IP Management. VLAN по умолчанию имеет имя default и включает в себя все порты коммутатора. По умолчанию в таблице Security IP Management нет ни одной записи, поэтому любая станция управления имеет доступ к коммутатору.



Код:
DGS-3324SR:4#show trusted_host
Command: show trusted_host


Management Stations

IP Addrress
---------------

Total Entries: 0


Значит по правилу мануала доступ к управлению должен быть только с VLAN110, а у нас можно на него попасть и из VLAN100 через интерфейс GW-13
Вернуться наверх
 Профиль  
 
fl
 Заголовок сообщения:
СообщениеДобавлено: Пт май 27, 2005 11:50 
Не в сети

Зарегистрирован: Пн янв 24, 2005 17:01
Сообщений: 12
Откуда: Moscow
Кстати, аналогичная проблема с DES-3350SR, в 3326, 3526 работает строго по мануалу, то есть доступ к управлению есть только с того VLAN, который привязан к интерфейсу SYSTEM.
Вернуться наверх
 Профиль  
 
Vladislav Karagezov
 Заголовок сообщения:
СообщениеДобавлено: Пт май 27, 2005 12:09 
Не в сети

Зарегистрирован: Вс авг 17, 2003 12:18
Сообщений: 4387
Откуда: Moscow
fl писал(а):
Кстати, аналогичная проблема с DES-3350SR, в 3326, 3526 работает строго по мануалу, то есть доступ к управлению есть только с того VLAN, который привязан к интерфейсу SYSTEM.

дело в том, что все перечисленные Вами свичи - 3-го уровня. Наверняка на них поднята маршрутизация, а в этих случаях между VLAN пакеты маршрутизируются. Вот и все. Создайте ACL, блокирующий передачу данных из одного VLAN (или IP подсети) в другой, или запретите доступ к МАС или IP коммутатора из подсетей.

_________________
С уважением, Карагезов Владислав
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 5 ] 

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 43

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB