Схема:
http://img195.imageshack.us/img195/1010/36vl.jpg
Сразу по теме:
Имеется сеть, DGS-3627G - ядро, с портов идут магистрали на подсети, 12-ый порт - 2 влана VLAN36 (192.168.36.0/24) и VLAN34 (192.168.34.0/24), подняты интерфесы, которыые выступают в качестве шлюза.
Доступ пользователей в сеть ограничена с помощью IMPB, который в настоящее время прописывается на свитче 192.168.36.202 (DES-3526(1)).
Таким образом пользователи обеих подсетей прописываются на этом свитче.
Хотелось бы прописывать на свитче 192.168.36.202 пользователей 36-ой подсети, а на 192.168.34.202 пользователей 34-ой подсети.
Каким образом реализовать?

ну прописать для начала, затем нужные порты запихнуть в нужные вам вланы

а причем тут IMPB?

Объясню:
Например имеется пользователь с ip адресом 192.168.34.56, и мак 00-11-22-33-44-55, impb проверка включена на свитче 192.168.36.202 на все порты, кроме уходящего на DGS-3627G, соответственно, пользователя необходимо добавить в таблицу impb на этом свитче, чтобы у него имелся доступ дальше DES-3526(1). Но, пользователь из подсети 192.168.34.*, а прописываем мы его на свитче 192.168.36.202.
Т.е. было бы неплохо пропускать через 192.168.36.202 всех пользователей имеющих ip 192.168.34.*, а на 192.168.34.202 уже прописать пользователей.

Кратко, пользователи двух подсетей прописываются на одном свитче, нужно прописывать их на двух.

VLANы полностью работают, всё отлично, но вот вопрос только в IMPB.

в чём заключается проблема? ну будут прописываться одни в один, другие в другой, проблемы не вижу

IMPB лиш контролирует source-ip и source-mac, ему пофигу какой IP на свиче или на влане используется.

сами VLAN-ы разрулили?
разнесли пользователей по разным подсетям на портах?

забыл добавить: IP интерфейсы свичей нужно выносить в отдельный от пользователей VLAN

Хорошо, например мы включаем impb на свитче 192.168.34.202,
прописываем на нём пользователя 192.168.34.56, но , т.к. этот пользователь не прописан на 192.168.36.202, он будет блокироваться именно на 36.202.

да ёлки-палки

192.168.34.202

Пришло 2 влана на аплинки:

valnid 34 port 49-50 tagged
vlanid 36 port 49-50 tagged

полсвича у нас 34 влан:
valnid 34 port 1-24 untagged

а другая половина свича 36:
valnid 34 port 25-48 untagged

Таблица единая, запихиваем туда и одних и других, по нужным портам или по всем портам, включаем биндинг на портах и всё работает как нужно. одни не видят других, IP-MAC адреса контролируются и у тех и у других


на аплинках биндинг включать не надо!

Почему не надо, можно поинтересоваться?
Обрисую ситуацию по другому:
за каждую подсеть отвечает отдельный человек.
Подсеть 36 - 1 человек, подсеть 34 - другой человек. Так вот они имеют доступ только к своим 192.168.xx.202 свитчам.
А прописывать на всех свитчах impb слишком руттиная задача.

P.S. что имеет больший приоритет impb или acl?
думаю сделать на 36.202 правило для ip_src 192.168.34.* permit, но будет ли он пропускать их, если их нет в impb?

Больший приоритет имеют IMPB



Нет, если IMPB включён локально на порту.

_________________
С уважением,
Бигаров Руслан.