D-Link • Просмотр темы

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

3610-26g acl

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 1

[ Сообщений: 3 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

muchacho

Заголовок сообщения: 3610-26g acl

Добавлено: Пт апр 17, 2009 11:15

Зарегистрирован: Вт июл 24, 2007 13:31
Сообщений: 37

Не могу понять как настроить acl.
Задача - организовать управление доступом на vlan-per-user.
Фильтровать нужно трафик идущий к клиенту и от него.
Конфиг:

Код:

!
vlan 100
 supervlan
 subvlan 110
!
vlan 110
 subvlan-address-range 192.168.100.10 192.168.100.11
!
!
interface VLAN 100
 ip address 192.168.100.1 255.255.255.0
!

Это всё работает. Теперь нужно acl-ями открывать/закрывать доступ для 192.168.100.10.
Делаю:

Код:

DGS-3610(config)#interface vlan 100
DGS-3610(config-if)#ip access-group 101 in
DGS-3610(config-if)#ip access-group 102 out
DGS-3610(config-if)#exit

Получаю:

Код:

DGS-3610(config)#show access-group 
ip access-group 101 in
ip access-group 102 out
Applied On interface VLAN 100.
DGS-3610(config)#

Всё нормально. Но когда создаю access-list, пропадает ip access-group 102 out.

Код:

DGS-3610(config)#ip access-list extended 101
DGS-3610(config-ext-nacl)#exit
DGS-3610(config)#ip access-list extended 102
apply acl, failed!
DGS-3610(config)#show access-group 
ip access-group 101 in
Applied On interface VLAN 100.
DGS-3610(config)#

ip access-list extended 101 добавился, но фильтруются только пакеты идущие на сам интерфейс, пакеты идущие транзитом и пакеты идущие в другие субвланы не фильтруются. ip access-group 102 out куда-то пропал, в доке об этом нислова. Что я сделал не так?

Пробую повесить acl на gi0/22, в который включен 192.168.100.10

Код:

DGS-3610(config)#interface GigabitEthernet 0/22
DGS-3610(config-if)#ip access-group 101 in
DGS-3610(config-if)#ip access-group 102 out
DGS-3610(config-if)#exit
DGS-3610(config)#show access-group 
ip access-group 101 in
ip access-group 102 out
Applied On interface GigabitEthernet 0/22.
DGS-3610(config)#ip access-list extended 101
DGS-3610(config-ext-nacl)#deny ip host 192.168.100.10 any
DGS-3610(config-ext-nacl)#permit ip any any
DGS-3610(config-ext-nacl)#exit
DGS-3610(config)#ip access-list extended 102
DGS-3610(config-ext-nacl)#deny ip any host 192.168.100.10     
DGS-3610(config-ext-nacl)#exit
DGS-3610(config)#show access-lists

ip access-list extended 101
 10 deny ip host 192.168.100.10 any
 20 permit ip any any 

ip access-list extended 102
 10 deny ip any host 192.168.100.10 

Пакеты, входящие в gi0/22 с адреса 192.168.100.10, фильтруются без вопросов.
Пакеты, выходящие из gi0/22 на адрес 192.168.100.10, не фильтруются вообще. Даже если добавить deny ip any any.

Как мне зафильтровать входящий/исходящий трафик с адреса?

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Вс апр 19, 2009 21:35

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Практически в любом современном коммутаторе egress (out) ACL существуют только в софте что сильно снижает производительность при существенной загрузке. На этой серии не egress ACL. Поэтому обратное направление нужно фильтровать на uplink.

Вернуться наверх

muchacho

Заголовок сообщения:

Добавлено: Вт апр 21, 2009 12:46

Зарегистрирован: Вт июл 24, 2007 13:31
Сообщений: 37

Спасибо за ответ.
Былобы не плохо хотябы где-нибуть в инструкции об этом написать, т.к. там об этом ни одного слова.

Вернуться наверх

Страница 1 из 1

[ Сообщений: 3 ]

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 45

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения