1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Пт июл 25, 2025 21:43

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 10 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
baronzzz
 Заголовок сообщения: des-3200-28 VLAN ACL как
СообщениеДобавлено: Вт авг 23, 2011 05:26 
Не в сети

Зарегистрирован: Чт янв 29, 2009 05:32
Сообщений: 64
Сложилась такая вот проблема...

Существует сегмент сети DES-3200-28 - мультиплексор с 1 FastEthernet и оптическим портом - ВОЛС - мультиплексор с 1 FastEthernet и оптическим портом - Клиент

Для Мониторинга мультиплексора я вливаю тэгированный трафик управляющего влана №5 в единственный порт мультиплексора, туда же не теггированным клиентский трафик влан №3.

Если подключиться к мультиплекору к ethernet порту и настроить железку на получение тэгированного трафика влана №5, то получиться что человек получит доступ к управляющему влану, а отсюда и возможность навредить сети...

Вопрос, как на коммутаторе des-3200-28 как либо запретить любому компьютеру выходить в влане №5 далее коммутатора des-3200-28 или вобще до него ?
Вернуться наверх
 Профиль  
 
Artem Kolpakov
 Заголовок сообщения: Re: des-3200-28 VLAN ACL как
СообщениеДобавлено: Вт авг 23, 2011 08:34 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Если вы на коммутаторе запретите на порту прохождение тегированого трафика 5го влана, вы со стороны коммутатора потеряете управление до медиаконвертеров, т.к. трафик просто не вернется.
Вернуться наверх
 Профиль  
 
baronzzz
 Заголовок сообщения: Re: des-3200-28 VLAN ACL как
СообщениеДобавлено: Вт авг 23, 2011 10:14 
Не в сети

Зарегистрирован: Чт янв 29, 2009 05:32
Сообщений: 64
Логично, что потеряю управление, чего мне и не требуется, вопрос стоит скорее ограничить...т.е. прошу помочь с ограничением и желательно по мак адресу...пробовал играться access_profile но ничего не вышло ((
Вернуться наверх
 Профиль  
 
Artem Kolpakov
 Заголовок сообщения: Re: des-3200-28 VLAN ACL как
СообщениеДобавлено: Вт авг 23, 2011 10:28 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Что конкретно не вышло? Какие правила писали?
Форум и FAQ читали? Тема access-list и PCF рассмотрена досконально и не один раз.
Вернуться наверх
 Профиль  
 
baronzzz
 Заголовок сообщения: Re: des-3200-28 VLAN ACL как
СообщениеДобавлено: Вт авг 23, 2011 13:46 
Не в сети

Зарегистрирован: Чт янв 29, 2009 05:32
Сообщений: 64
ТОгда перефразирую вопрос...


Имея 1 порт на des-3200-28 я вливаю в него трафик, меченый 5 вланам и не меченый.

Меченный только для того чтобы, отслеживать состояние железок, за портом, не тегированный трафик , трафик клиента, и я не отрицаю, того что пометив трафик (5 влан) он может получить доступ в сеть..

Резюме.... зная маки двух железок, могу ли я прописать какойнить фильтр на порт для отдельного взятого влана (5 вллан), что бы я смог пропускать тока трафик с пятого влана этих мак адресов.

Прошу помочь, ибо в написание аклов на dlink знаком мало...
Заранее спасибо...
Вернуться наверх
 Профиль  
 
Artem Kolpakov
 Заголовок сообщения: Re: des-3200-28 VLAN ACL как
СообщениеДобавлено: Вт авг 23, 2011 14:34 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Можете. Как - читайте FAQ
http://dlink.ru/ru/faq/62/954.html
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения: Re: des-3200-28 VLAN ACL как
СообщениеДобавлено: Вт авг 23, 2011 14:36 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Вот так примерно правила должны выглядеть:
Код:
create access_profile ethernet vlan source_mac FF-FF-FF-FF-FF-FF profile_id 1
config access_profile profile_id 1 add access_id auto_assign ethernet vlan 5 source_mac 00-12-34-56-78-90 port <порт_клиента> permit

create access_profile ethernet vlan source_mac 00-00-00-00-00-00 profile_id 2
config access_profile profile_id 2 add access_id auto_assign ethernet vlan 5 source_mac 00-00-00-00-00-00 port <порт_клиента> deny
Вернуться наверх
 Профиль  
 
baronzzz
 Заголовок сообщения: Re: des-3200-28 VLAN ACL как
СообщениеДобавлено: Ср авг 24, 2011 04:57 
Не в сети

Зарегистрирован: Чт янв 29, 2009 05:32
Сообщений: 64
Повлияет ли тот факт, что через порт пользователя №1 идет тэгированный трафик влана №5 и не тэгированный влана №3 ?
Вернуться наверх
 Профиль  
 
baronzzz
 Заголовок сообщения: Re: des-3200-28 VLAN ACL как
СообщениеДобавлено: Ср авг 24, 2011 08:24 
Не в сети

Зарегистрирован: Чт янв 29, 2009 05:32
Сообщений: 64
Denis Evgraphov спасибо, помогло, с не котоыми усовершенствованиями..стало лучше... аналогичны правила и на cpu access_profile.


Artem Kolpakov желаю быть более доброжелательным к вашим клиентам.
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения: Re: des-3200-28 VLAN ACL как
СообщениеДобавлено: Ср авг 24, 2011 14:43 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Не за что. Задача, как я понимаю, решена?
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 10 ] 

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 4

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB