1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Чт июл 17, 2025 15:35

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ 1 сообщение ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
vladislav9521
СообщениеДобавлено: Ср авг 07, 2024 12:54 
Не в сети

Зарегистрирован: Ср авг 07, 2024 12:50
Сообщений: 1
Доброго времени суток форумчане!
Нужен совет по настройке access листов в коммутаторе D-link DGS-1210-28/ME с d-link cli.
Суть задачи: весь приходящий трафик с сетей (10.20.0.0/16 и 10.2.0.0/16) нужно пропускать, кадры (пакеты) с других сетей - отбрасывать. К коммутатору подключены хосты с сети (10.20.0.0/16). Ну и, соответственно, в обратную сторону - чтобы подключенные к коммутатору хосты имели доступ в эти сети (10.20.0.0/16 и 10.2.0.0/16), а в другие сети - нет.
Ниже я опишу свое виденье по реализации данной задачи.
Сконфигурировал железку следующим образом:
с 1 по 23 порты сделал портами доступа (untagged портом). К ним подключены хосты. Включил их в отдельный vlan. 24 порт сделал tugged портом (в терминологии cisco - trunk порт) - подключен к железке с функциями маршрутизации (дальше маршрутизирует в головной офис). На этом остановился. Думаю настроить ACL следующим образом.
Создал профили:
1. Для входящего трафика, т.е. который поступает на порт №24
create access_profile ip source_ip_mask 255.255.0.0 profile_id 1
config access_profile profile_id 1 add access_id 1 ip source_ip 10.20.0.1 port 24 permit
config access_profile profile_id 1 add access_id 2 ip source_ip 10.2.0.1 port 24 permit
config access_profile profile_id 1 add access_id 3 ip source_ip 0.0.0.0 port 24 deny //весь трафик приходящий на порт №24 отбрасываем.
2. Для исходящего трафика, т.е. поступающий на порты с 1 по 23
create access_profile ip destination_ip_mask 255.255.0.0 profile_id 2
config access_profile profile_id 2 add access_id 1 ip destinaton_ip 10.20.0.1 port 1-23 permit
config access_profile profile_id 2 add access_id 2 ip destinaton_ip 10.2.0.1 port 1-23 permit
config access_profile profile_id 2 add access_id 3 ip destinaton_ip 0.0.0.0 port 1-23 deny //весь трафик приходящий с хостов на порты с 1 по 23 отбрасываем

Т.е., прошерстив теорию, правильно ли я понимаю? Допустим, например, приходит пакет на порт №24. Действие коммутатора:
1. коммутатор понимает что у него настроен профиль доступа.
2. берет профиль доступа с id 1 . Профиль фильтрует по адресу источника.
3. берет и прогоняет пришедший кадр по правилам профиля до первого совпадения. если попадает под правило, то отбрасывает или разрешает трафик в зависимости от настроенного правила профиля.
4. дальше берет профиль доступа с id 2. и по аналогии.
А если пришел трафик на порт, например №3, то проделывает тоже самое, начина с профиля с id 1 и заканчивая последним правилом последнего профиля до совпадения.
Будет ли работает таким образом? И, является ли такой подход правильным или можно как-то по другому настроить?
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ 1 сообщение ] 

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: baymerx, Google [Bot] и гости: 119

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB