faq обучение настройка
Текущее время: Пт июл 18, 2025 00:39

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 2 ] 
Автор Сообщение
СообщениеДобавлено: Пн сен 07, 2020 10:43 
Не в сети

Зарегистрирован: Пн сен 07, 2020 10:28
Сообщений: 2
Здравствуйте.
Имеется D-Link DES-3200-18 rev. A1

Создавая ACL для абонентов, обычно мы применяем ACL конкретно на указанные порты. Если услуга на порте меняется, сносим все ACL и расставляем заного, привязывая к каждому порту.

Решил заморочить ACL с привязкой не к порту а к VLAN, чтобы при смене услуги на порту достаточно было поменять VLAN и применились ACL для того VLAN, который указан на порту.

Получилось так:

Код:
DES-3200-18:5#sh conf cur begin "ACL"
Command: show config current_config begin "ACL"
# ACL

#Правило для VLAN'ов, по которым предоставляется PPPoE. Разрешаю PADI/PADO пакеты.
create access_profile  ethernet  vlan 0xFF ethernet_type  profile_id 2
config access_profile profile_id 2  add access_id 1  ethernet  vlan v100 ethernet_type 0x8863    port 1-16 permit
config access_profile profile_id 2  add access_id 2  ethernet  vlan v100 ethernet_type 0x8864    port 1-16 permit


#Правило для VLAN, по которому гонится SIP - разрешаю всё в 15-ом VLAN'е
create access_profile  ethernet  vlan 0xFF source_mac 00-00-00-00-00-00  profile_id 3
config access_profile profile_id 3  add access_id 1  ethernet  vlan v15 source_mac 00-00-00-00-00-00  port 1-16 permit



#Остальное - блочим нафиг
create access_profile  ethernet  source_mac 00-00-00-00-00-00  profile_id 512
config access_profile profile_id 512  add access_id 1  ethernet  source_mac 00-00-00-00-00-00  port 1-16 deny
disable cpu_interface_filtering



В результате:
Прописал ipif в 15 и в 100 влане на коммутаторе адреса, чтобы потом пробовать их пинговать, и проверять правила.
Если я ставлю на порт 15-й VLAN акцессом, работает всё - пинг идет. Ставлю VLAN 100 - пинги не проходят, арпы блочатся. Все как надо.

Но: ставлю тегом на порт коммутатора сразу оба ВЛАНа, и 15 и 100,
настраиваю SIP шлюз с поддержкой VLAN - 15й ставлю ему на WAN порт, а на 1-й LAN порт пробрасываю в SIP шлюзе 100-й VLAN бриджем (мы так иногда делаем - даем две услуги с одного порта). По итогу и SIP шлюз может пинговать коммутатор в 15м VLAN'е, и ноутбук за шлюзом в 100-м VLAN'е с какого-то перепугу тоже вдруг начинает пинговать коммутатор в 100-м VLAN'е. Будто бы ACL'ам пофиг на то, что ноут находится в 100-м VLAN.

Как вообще это должно работать то? может я маску VLAN'у задал неправильно? Я нигде не нашел в интернете информацию о том, что такое маска VLAN и как её высчитать. Всё облазил - ничё нету.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср сен 09, 2020 11:39 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт июл 24, 2020 10:21
Сообщений: 12
Здравствуйте. Предварительно можно заметить, что в VLAN100 у Вас будет ходить только PPPoE трафик, так как в конце добавлено правило с запретом всех IP пакетов (в том числе ARP ICMP и т.д.).
Можете написать нам на switch@dlink.ru с составлением сервисной модели, тогда будет проще подогнать ACL правила конкретно под Ваши задумки.
Спасибо.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 2 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 30


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB