D-Link • Просмотр темы

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

DGS-3627

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 2

[ Сообщений: 19 ]

На страницу 1, 2 След.

Предыдущая тема | Следующая тема

Автор

Сообщение

sinnerjan

Заголовок сообщения: DGS-3627

Добавлено: Вт июн 08, 2010 09:22

Зарегистрирован: Вт июн 08, 2010 08:57
Сообщений: 10

Код:

create access_profile ip source_ip_mask 255.255.255.255 profile_id 10

config access_profile profile_id 10 add access_id 1 ip source_ip 172.50.130.1 port 1 permit
config access_profile profile_id 10 add access_id 2 ip source_ip 172.50.130.2 port 2 permit

create access_profile ip source_ip_mask 0.0.0.0 profile_id 11

config access_profile profile_id 11 add access_id 1 ip source_ip 0.0.0.0 port 1-20 deny

этим

Код:

config access_profile profile_id 11 add access_id 1 ip source_ip 0.0.0.0 port 1-20 deny

я указал сразу 20 портов что бы не париться с каждым.
этим

Код:

config access_profile profile_id 10 add access_id 1 ip source_ip 172.50.130.1 port 1 permit

соответственно просто указываю ип порт и ид

Собственно проблема в том что все норм работает, кроме 1го порта
К нему воткнут абонент а точнее он туда воткнул cisco и проверить ее не могу. То есть как только делаю запрещающее правило пинг до 172.50.130.1 на первом порту пропадает
если даже в запрете делаю

Код:

config access_profile profile_id 11 add access_id 1 ip source_ip 0.0.0.0 port 2-20 deny

то есть первый порт не трогаю, все равно пропадает связь.
С чем может быть это связанно и как это исправить.
Или быть может я все не правильно делаю и так нельзя ?
хотя с остальными портами проблем нету.

сам я подключен в 23 порт через СФП модуль. Нахожусь от него далековато.

Вернуться наверх

Alexandr Zaitsev

Заголовок сообщения:

Добавлено: Вт июн 08, 2010 10:21

Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow

Циска видна в fdb таблице? Она точно имеет адрес 172.50.130.1? У неё статический адрес или она получает его по DHCP?

Вернуться наверх

sinnerjan

Заголовок сообщения:

Добавлено: Вт июн 08, 2010 12:16

Зарегистрирован: Вт июн 08, 2010 08:57
Сообщений: 10

Alexandr Zaitsev писал(а):

Циска видна в fdb таблице?

Что такое "fdb таблица" и где как это смотреть?

Alexandr Zaitsev писал(а):

Она точно имеет адрес 172.50.130.1

да, и я так полагаю там стоит NAT т.к. к cisco подключены еще парочку компов, на сколько мне известно. + ко всему скорее всего служит еще как рутер ихняя циска ибо как мне известно там своя локалка.

Alexandr Zaitsev писал(а):

У неё статический адрес или она получает его по DHCP?

статистический.

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Вт июн 08, 2010 16:12

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

Через CLI:

sh fdb

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

sinnerjan

Заголовок сообщения:

Добавлено: Вт июн 08, 2010 16:27

Зарегистрирован: Вт июн 08, 2010 08:57
Сообщений: 10

Там все такого рода

Код:

1 default 00-21-85-62-20-86 24 Dynamic

кроме этой строчки строчки

Код:

1 default 00-21-91-AE-AB-00 CPU Self

и я так полагаю что это не циска

Вернуться наверх

terrible

Заголовок сообщения:

Добавлено: Вт июн 08, 2010 16:53

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default

sinnerjan писал(а):

кроме этой строчки строчки

1 default 00-21-91-AE-AB-00 CPU Self

и я так полагаю что это не циска

Капитан очевидность? оО

смотрим на циске мак её, который смотрит в DGS, после этого на DGS выполняем комманду sh fdb mac [mac-address циски через "-"]

Вернуться наверх

sinnerjan

Заголовок сообщения:

Добавлено: Вт июн 08, 2010 17:34

Зарегистрирован: Вт июн 08, 2010 08:57
Сообщений: 10

А вот теперь попа. Они отключили видимо icmp, больше нету пинга, но вижу в билинге трафик идет у них.
А как я уже говорил раньше, циска не наша и посмотреть что там у нее я не могу.

Вернуться наверх

terrible

Заголовок сообщения:

Добавлено: Вт июн 08, 2010 17:49

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default

значит смотрим по sh arpe её ип, там-же будет её мак, ну и потом опять на fdb

можно так-же глянуть через sh ipfdb, там покажет IP адреса по портам.

Вернуться наверх

sinnerjan

Заголовок сообщения:

Добавлено: Вт июн 08, 2010 18:01

Зарегистрирован: Вт июн 08, 2010 08:57
Сообщений: 10

terrible писал(а):
значит смотрим по sh arpe её ип, там-же будет её мак, ну и потом опять на fdb

можно так-же глянуть через sh ipfdb, там покажет IP адреса по портам.

Код:

Код:
System         172.50.0.0       FF-FF-FF-FF-FF-FF  Local/Broadcast 
System         172.50.0.21      00-13-46-EC-C3-0F  Dynamic 
System         172.50.0.24      00-04-76-9E-FC-9E  Dynamic 
System         172.50.0.50      00-21-91-AE-AB-00  Local 
System         172.50.255.255   FF-FF-FF-FF-FF-FF  Local/Broadcast 

Код:

Interface     IP Address       Port    Learned 
------------  ---------------  ------  --------- 
System        172.50.0.21      24      Dynamic 
System        172.50.0.24      24      Dynamic 

172.50.0.50 на порту 23 (СФП)
172.50.0.21 это ваще днс сервер а он далеко от этого камутатора
172.50.0.24 не помню что у меня на нем.
то есть не видно даже 172.50.130.2 а он во втором порту 100% и норм работает.

Вернуться наверх

sinnerjan

Заголовок сообщения:

Добавлено: Ср июн 09, 2010 10:53

Зарегистрирован: Вт июн 08, 2010 08:57
Сообщений: 10

есть у кого какие еще предложения? я просто новичок во всем этом.

Вернуться наверх

CHeRTeNok

Заголовок сообщения:

Добавлено: Ср июн 09, 2010 15:18

Зарегистрирован: Ср дек 10, 2008 09:53
Сообщений: 87
Откуда: Екатеринбург

Цитата:

Всем доброго дня.
Проблема заключается в access-profile
Так как я новенький в этих делах простите за неграмотное оформление.

Начальством было велено на каждый порт присвоить ип ну что бы другой не смог пройти.
нашел вариант такой: Код:
create access_profile ip source_ip_mask 255.255.255.255 profile_id 10

config access_profile profile_id 10 add access_id 1 ip source_ip 172.50.130.1 port 1 permit
config access_profile profile_id 10 add access_id 2 ip source_ip 172.50.130.2 port 2 permit

create access_profile ip source_ip_mask 0.0.0.0 profile_id 11

config access_profile profile_id 11 add access_id 1 ip source_ip 0.0.0.0 port 1-20 deny

этим Код:
config access_profile profile_id 11 add access_id 1 ip source_ip 0.0.0.0 port 1-20 deny

я указал сразу 20 портов что бы не париться с каждым.
этим Код:
config access_profile profile_id 10 add access_id 1 ip source_ip 172.50.130.1 port 1 permit

соответственно просто указываю ип порт и ид

Собственно проблема в том что все норм работает, кроме 1го порта
К нему воткнут абонент а точнее он туда воткнул cisco и проверить ее не могу. То есть как только делаю запрещающее правило пинг до 172.50.130.1 на первом порту пропадает
если даже в запрете делаю Код:
config access_profile profile_id 11 add access_id 1 ip source_ip 0.0.0.0 port 2-20 deny

то есть первый порт не трогаю, все равно пропадает связь.
С чем может быть это связанно и как это исправить.
Или быть может я все не правильно делаю и так нельзя ?
хотя с остальными портами проблем нету.

сам я подключен в 23 порт через СФП модуль. Нахожусь от него далековато.

Ты на DGS-е разрешил исходящий трафик. А про входящий забыл.
Попробуй добавить след. правило:

Код:

 create access_profile ip destination_ip_mask 0.0.0.0 profile_id 9
config access_profile profile_id 9 add access_id 1 ip destination_ip 0.0.0.0 port all permit

Вернуться наверх

Alexandr Zaitsev

Заголовок сообщения:

Добавлено: Ср июн 09, 2010 15:56

Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow

CHeRTeNok
С таким раскладом проходить будет абсолютно всё.

правила правильные, должно работать

Вернуться наверх

sinnerjan

Заголовок сообщения:

Добавлено: Чт июн 10, 2010 09:35

Зарегистрирован: Вт июн 08, 2010 08:57
Сообщений: 10

Alexandr Zaitsev писал(а):

правила правильные, должно работать

Ну так в чем проблема то? Куда копать, где искать?

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Чт июн 10, 2010 15:45

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

Если в логах всё нормально, т.е. нет записей типа link up/ down port 1, тогда нужно убрать запрещающее правило, настроить зеркалирование и просниферить трафик. У клиентов IP адреса статические?

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

sinnerjan

Заголовок сообщения:

Добавлено: Чт июн 10, 2010 16:33

Зарегистрирован: Вт июн 08, 2010 08:57
Сообщений: 10

Bigarov Ruslan писал(а):

Я выше писал что статистические.
В логах вот что:

Код:

2156  2010-06-10 00:51:33 Port 1 link up, 1000Mbps FULL duplex
2155  2010-06-10 00:49:57 Port 1 link down
2154  2010-06-10 00:49:17 Port 1 link up, 1000Mbps FULL duplex
2153  2010-06-10 00:46:33 Port 1 link down
2152  2010-06-09 22:32:42 Port 1 link up, 100Mbps FULL duplex

На счет остального я не понял Вас.

Вернуться наверх

Страница 1 из 2

[ Сообщений: 19 ]

На страницу 1, 2 След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 16

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения