Здравствуйте! Имеется свитч:
DGS-3610-26G version v10.3(5T16), Release(92751)
схема: vlan на пользователя (с supervlan)
задача: Заблокировать неплательщика, оставив доступ к некоторым ip-адресам, зная только его vlan
Конфиг (все лишнее выкинуто)
Код:
vlan 100
supervlan
subvlan 300-301
vlan 300
name CVLAN-300
subvlan-address-range 10.21.201.2 172.21.201.2
!
vlan 301
name CVLAN-301
subvlan-address-range 10.21.201.21 172.21.201.21
!
expert access-list extended VLAN_100
10 permit udp any any host 168.21.16.10 any eq domain - разрешаем dns
20 permit tcp any any host 168.21.16.10 any eq www - разрешаем www-портал
30 deny ip VID 300 any any any any - запрещаем все остальные пакеты от абонента с vid 300
40 permit ip any any any any - резрешаем все остальное
!
interface VLAN 100
no ip proxy-arp
expert access-group VLAN_100 in
ip address 10.21.201.1 255.255.255.0
!
если применить expert access-list к IP-интерфейсу на Super-VLAN, (как и сделано выше в конфиге на int vlan 100),
то access-list "VLAN_100" блокирует пакеты с
любым VID, независимо от того, что в нем прописано блокировать только VID = 300
Если же прописать тот же самый access-list на транковом порту с пользовательскими вланами, то все работает правильно, но создает различные неудобства (надо знать физический интерфейс и т.д.):
Код:
interface GigabitEthernet 0/20
description Link_to_users
switchport mode trunk
expert access-group VLAN_100 in
Если это действительно так и access-list неправильно отрабатывает при "навешивании" его на SVI, то пусть разработчики хотябы укажут это в мануале в "access-list configuration restrictons",
или можно надеяться, что в будущих прошивках эта возможность заработает ?
Вход
Регистрация
FAQ
Поиск
Свитч настраивался и тестировался в спешке, поэтому об этом не подумали...