1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Вт июл 22, 2025 02:11

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Эта тема закрыта, Вы не можете редактировать и оставлять сообщения в ней.  Страница 1 из 1
  [ Сообщений: 7 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
Антон-Сн
 Заголовок сообщения: Помогите составить ACL на 3627
СообщениеДобавлено: Пн дек 07, 2009 23:55 
Не в сети

Зарегистрирован: Ср авг 27, 2008 09:08
Сообщений: 50
Откуда: Пятигорск
Прошу совета от знающих людей.
Как правильно задать acl для ограничения маршрутизации между вланами.

Схема
Есть 3627, на нем сходятся около 20 вланов, так же для каждого влана поднят свой ipif.
абоненты подключенные к каждому влану далее поступают на vpn сервер через ospf (cisco+3627).

Вопрос в следующем: нужна помощь для создания acl для каждого влана , а именно запрет маршрутизации между ними.

Прилагаю sh ipif
Код:

IP Interface                   : 96              [Пользовательский]
VLAN Name                   : VLAN96
Interface Admin state     : Enabled
DHCPv6 Client State      : Disabled
IPv4 Address                 : 172.31.96.2/24 (Manual)  Primary
Proxy ARP                     : Disabled   (Local : Disabled)
IP Directed Broadcast     : Disabled
IP MTU                          : 1500

IP Interface                    : 97             [Пользовательский]
VLAN Name                    : VLAN97
Interface Admin state      : Enabled
DHCPv6 Client State        : Disabled
IPv4 Address                  : 172.31.97.2/24 (Manual)  Primary
Proxy ARP                      : Disabled   (Local : Disabled)
IP Directed Broadcast      : Disabled
IP MTU                           : 1500

IP Interface                    : System       [управляющий]
VLAN Name                     : VLAN301
Interface Admin state       : Enabled
DHCPv6 Client State         : Disabled
IPv4 Address                   : 192.168.1.21/24 (Manual)  Primary
Proxy ARP                       : Disabled   (Local : Disabled)
IP Directed Broadcast       : Disabled
IP MTU                            : 1500

IP Interface                     : cisco-vpn    [ospf cisco+3627]
VLAN Name                      : VLAN10
Interface Admin state       : Enabled
DHCPv6 Client State         : Disabled
IPv4 Address                   : 172.31.0.2/24 (Manual)  Primary
Proxy ARP                       : Disabled   (Local : Disabled)
IP Directed Broadcast       : Disabled
IP MTU                             : 1500


В ФАКЕ уже был. Только вот немного не то что надо.

P.S. Тока сильно не бейте, просто устал экспериментировать на работающей сетке.
Вернуться наверх
 Профиль  
 
terrible
 Заголовок сообщения:
СообщениеДобавлено: Вт дек 08, 2009 09:55 
Не в сети

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default
Советую внимательно прочитать вот эту тему:
viewtopic.php?t=113995
Вернуться наверх
 Профиль  
 
Антон-Сн
 Заголовок сообщения:
СообщениеДобавлено: Ср дек 09, 2009 10:35 
Не в сети

Зарегистрирован: Ср авг 27, 2008 09:08
Сообщений: 50
Откуда: Пятигорск
Спасибо за нужное направление. Будем копать
Вернуться наверх
 Профиль  
 
Антон-Сн
 Заголовок сообщения:
СообщениеДобавлено: Ср дек 09, 2009 12:04 
Не в сети

Зарегистрирован: Ср авг 27, 2008 09:08
Сообщений: 50
Откуда: Пятигорск
В общем получилось да не совсем
Пример
vlan 100 ip 172.31.0.0/24
vlan 101 ip 172.31.101.0/24
vlan 102 ip 172.31.102.0/24
Задача, vlan 101 нет связи с vlan 102, vlan 102 нет связи vlan 101, vlan 101 и 102 должны видеть vlan 100
Примечание: на каждый влан есть свой dhcp сервер, который сидит в той же подсети

Вот правила с которыми, как мне казалось все гуд
Код:
Разрешаем

create access_profile ip source 255.255.255.0 dest 255.255.255.0 vlan prof 10

conf access_prof prof 10 add access_id auto ip source 172.31.101.0 dest 172.31.101.0 vlan VLAN101  port all permit
conf access_prof prof 10 add access_id auto ip source 172.31.0.0 dest 172.31.101.0 vlan VLAN101 port all permit
conf access_prof prof 10 add access_id auto ip source 172.31.101.0 dest 172.31.0.0 vlan VLAN101   port all permit

сonf access_prof prof 10 add access_id auto ip source 172.31.102.0 dest 172.31.102.0 vlan VLAN102  port all permit
conf access_prof prof 10 add access_id auto ip source 172.31.0.0 dest 172.31.102.0 vlan VLAN102 port all permit
conf access_prof prof 10 add access_id auto ip source 172.31.102.0 dest 172.31.0.0 vlan VLAN102   port all permit

Запрещаем

create access_profile ip source 0.0.0.0 dest 0.0.0.0 vlan prof 11

conf access_prof prof 11 add access_id auto ip source 0.0.0.0 dest 0.0.0.0 vlan VLAN101 port all deny
conf access_prof prof 11 add access_id auto ip source 0.0.0.0 dest 0.0.0.0 vlan VLAN102 port all deny



Все работает все идет куда надо, но как только абонент конектится к сети и вот вот должен получить адрес, он его не получает.
Вот такая беда.
Вернуться наверх
 Профиль  
 
Alexandr Zaitsev
 Заголовок сообщения:
СообщениеДобавлено: Чт дек 10, 2009 15:04 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow
Просто клиенты не имеют адресов до получения их от DHCP сервера и все попадают под действие запрещающих правил.
Попробуйте добавить такой профиль:
Код:
create access_profile ip source 0.0.0.0 dest 255.255.255.255 vlan prof 9
conf access_prof prof 9 add access_id auto ip source 0.0.0.0 dest 255.255.255.255 vlan VLAN102  port all permit
conf access_prof prof 9 add access_id auto ip source 0.0.0.0 dest 255.255.255.255 vlan VLAN101 port all permit
conf access_prof prof 9 add access_id auto ip source 0.0.0.0 dest 255.255.255.255 vlan VLAN100   port all permit


Вернуться наверх
 Профиль  
 
Антон-Сн
 Заголовок сообщения:
СообщениеДобавлено: Чт дек 10, 2009 19:50 
Не в сети

Зарегистрирован: Ср авг 27, 2008 09:08
Сообщений: 50
Откуда: Пятигорск
Спасибо все работает как надо!
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Чт дек 10, 2009 19:54 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Рад слышать!
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Эта тема закрыта, Вы не можете редактировать и оставлять сообщения в ней.  Страница 1 из 1
  [ Сообщений: 7 ] 

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Bing [Bot] и гости: 46

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB