Добрый день!
Возникла необходимость ограничить пользователей в доступе по конкретным IP адресам.
Возможно ли решить данную задачу на основе коммутаторов D-Link?
Требования: 19", 24/48 портов, функция ограничения доступа по IP. Коммутатор м.б. управляемым или неуправляемым.
Если на базе коммутаторов это невозможно, то какие есть варианты по другому оборудованию?
Схема сети проста: ПК юзеров --> коммутатор --> FreeBCD --> сеть провайдера.
Данная задача легко решается в точке FreeBCD, но по ряду причин это нежелательно.

ваша задача решается любым коммутатором, имеющим ACL.
Советую смотреть в сторону DES-3528/3552

Спасибо за ответ. Думаю DES-3528 будет вполне оптимальным по цене.
Вопрос:
1. Управление доступом в нем осуществляется через консоль или есть свой IP?
2. Ограничить доступ к определенному IP можно только для всех портов сразу или он так умен, что ему можно указать юзера с своим IP и запретить именно ему выход на конкретный IP?

Управляется через: консоль, WEB, telnet, ssh, snmp - выбирайте по вкусу


cre acces ip dest 255.255.255.255 prof 1
conf access prof 1 add acces auto ip dest 195.208.24.91 port all deny


С поправной на привязку конкретного IP источника к порту свича:

cre acces ip source 255.255.255.255 dest 255.255.255.255 prof 1
conf access prof 1 add acces 1 ip sour 192.168.65.24 dest 195.208.24.91 port 5 deny
conf access prof 1 add acces 2 ip sour 192.168.65.135 dest 195.208.24.91 port 18 deny
conf access prof 1 add acces 3 ip sour 192.168.65.121 dest 195.208.24.91 port 16 deny

Не подскажите как сделать тоже самое, но не к конкретному ip, а ко всей подсети, например:
192.168.65.1 - 192.168.65.254?

к примеру следующее правило работать не хочет:
conf access prof 1 add acces 1 ip sour 0.0.0.0 dest 195.208.24.91 port 5 deny

примерно так.
В первой строке указываете маску, во второй - адреса сетей

Спасибо за помощь, все заработало. На счет маски не сообразил

По Телнету я не силен в командах, через web хотелось бы, но не получается, не работает.
Есть какое-либо руководство как настроить ACL через web? Мануал на диске содержит только общеописательную часть без примеров.

Нашел манул, немного разобрался с командами, заработало. Также и через web интерфейс.
Появились следующие вопросы:
1. Всего м.б. Профилей: 14. В каждом из них 128 Правил. Т.е. потенциально можно закрыть 14х128=1792 IP адреса. Я прав?
2. Как закрыть все ресурсы, например, mail.ru?
games.mail.ru; video.mail.ru; avto.mail.ru - все они имеют разные IP адреса. Это значит, что необходимо все их прописывать? Или есть какой-то типа корневой IP, который может закрыть доступ сразу ко всем подобным сервисам сайта?

1. Если маска ip адреса - /32, то да. Если укажете более широкую маску в профиле - сможете закрыть большее количество адресов.
2. Фильтрацию по dns имени коммутатор не производит. Закрывать ресурсы по ip тоже не очень рационально, поэтому лучше посмотрите в сторону межсетевых экранов серии DFL (у них есть функция web фильтрации по URL) или поднимайте прокси-сервер.

1. Как указать в профиле более широкую маску? Подозревал, что можно указывать диапазон.
2. Задача не столь глобальна, поэтому для начала думаю обойтись 3528, коль уже установлен.

Читайте тут про маску подсети

1. Спасибо, но интересует все же, как физически ввести диапазон IP адресов в профиле или ролях? Или это невозможно в принципе?
2. Возможно ли редактировать имя профиля?
P.S. Если в ACL Configuration Wizard не указать IP нового профиля (оставить пустой строку) и нажать Apply, сообщение об ошибке не выводится, а коммутатор вешается напрочь, помогает только сброс питания.

А где в профиле маска вообще? Там же только IP адрес.

Алгоритм создания acl.
1. Создаете (create) профиль, в котором указываете маски ip адресов, портов и пр, под которые должны попадать инспектируемые пакеты. Т.е. если ip source 255.255.255.0 - то это говорит о том, что в проходящих пакетах будут проверяться на соответствие первые три октета в source ip адресе. Если ip source 255.255.255.255 - то чтобы пакет попал под правило, ip source должен полностью соответствовать указанному в правиле (см. далее про правила).
2. Создаете правила для профиля, указываете конкретные адреса сетей или хостов.
Если у вас в профиле маска 255.255.255.0 и в правиле вы пишете ip source 192.168.0.0 то под правило попадут все пакеты с адресами 192.168.0.0 - 192.168.0.255