1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Пт июл 18, 2025 11:20

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 2
  [ Сообщений: 27 ]  На страницу 1, 2  След.
  Предыдущая тема | Следующая тема 
Автор Сообщение
Evgeny54321
 Заголовок сообщения: маршрутизация между des-3810 и dfl-260e
СообщениеДобавлено: Вт окт 07, 2014 08:14 
Не в сети

Зарегистрирован: Пн май 26, 2014 11:53
Сообщений: 63
Здравствуйте. Dfl-260e является шлюзом выхода в интернет. На Des-3200-28_C1 и Des-3810-28 подняты вланы и их интерфейсы соответственно (команда sh iproute
IP Address/Netmask Gateway Interface Cost Protocol
------------------ --------------- ------------ -------- --------
10.0.101.0/24 0.0.0.0 ipzu1 1 Local
10.0.102.0/24 0.0.0.0 ipzu2 1 Local
10.0.103.0/24 0.0.0.0 ipzu3 1 Local
10.0.104.0/24 0.0.0.0 ipzu4 1 Local
10.0.105.0/24 0.0.0.0 ipzu5 1 Local
10.0.106.0/24 0.0.0.0 ipzu6 1 Local
10.0.107.0/24 0.0.0.0 ipdirekt 1 Local
10.0.108.0/24 0.0.0.0 ipsklad 1 Local
10.0.109.0/24 0.0.0.0 ipopt 1 Local
192.168.0.0/24 0.0.0.0 ipsrv 1 Local
) . Подскажите как дать доступ в интернет например для ipzu1 и ipdirekt а остальным запретить? Шлюз интернета 192.168.1.1/24
DFL-260e воткнута в 3810 в 24 порт
Вернуться наверх
 Профиль  
 
Vladimir22
СообщениеДобавлено: Вт окт 07, 2014 08:20 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9130
Откуда: Москва
а кто вланоми то рулит ?!

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку
Вернуться наверх
 Профиль  
 
Evgeny54321
СообщениеДобавлено: Вт окт 07, 2014 08:38 
Не в сети

Зарегистрирован: Пн май 26, 2014 11:53
Сообщений: 63
Vladimir22 писал(а):
а кто вланоми то рулит ?!

Имеется ввиду управляющая vlan ?
Вернуться наверх
 Профиль  
 
Vladimir22
СообщениеДобавлено: Вт окт 07, 2014 08:45 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9130
Откуда: Москва
имеется ввиду где созданы эти влан ?! и кто их маршрутизирует ?!

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку
Вернуться наверх
 Профиль  
 
Evgeny54321
СообщениеДобавлено: Вт окт 07, 2014 09:11 
Не в сети

Зарегистрирован: Пн май 26, 2014 11:53
Сообщений: 63
Vladimir22 писал(а):
имеется ввиду где созданы эти влан ?! и кто их маршрутизирует ?!

есть DES-3810 DES-3200 и DFL-260e. На DES-3200 созданы вланы и прикручены к портам untagged 1-24, 27 и tagged 25-26.
На 3810 созданы интерфейсы для вланов(шлюзы) и создана vlan SRV для серверов untagged 27 и tagged 25-26
Проще скинуть настройки:
Скрытый текст: показать
DES-3200
config vlan default delete 1-24, 27
create vlan ZU1 tag 101
config vlan ZU1 add tagged 25-26
config vlan ZU1 add untagged 1-3
create vlan ZU2 tag 102
config vlan ZU2 add tagged 25-26
config vlan ZU2 add untagged 4-6
create vlan ZU3 tag 103
config vlan ZU3 add tagged 25-26
config vlan ZU3 add untagged 7-9
create vlan ZU4 tag 104
config vlan ZU4 add tagged 25-26
config vlan ZU4 add untagged 10-12
create vlan ZU5 tag 105
config vlan ZU5 add tagged 25-26
config vlan ZU5 add untagged 13-15
create vlan ZU6 tag 106
config vlan ZU6 add tagged 25-26
config vlan ZU6 add untagged 16-18
create vlan DIREKT tag 107
config vlan DIREKT add tagged 25-26
config vlan DIREKT add untagged 19-21
create vlan SKLAD tag 108
config vlan SKLAD add tagged 25-26
config vlan SKLAD add untagged 22-24
create vlan OPT tag 109
config vlan OPT add tagged 25-26
config vlan OPT add untagged 27
лупдетект:
enable loopdetect
config loopdetect ports 1-24, 27 state enabled
config loopdetect recover_timer 60 interval 10 mode port-based

аггрегирование каналов на порту 25-26(Динамическое агрегирование каналов)
create link_aggregation group_id 1 type lacp
config link_aggregation algorithm mac_source
config link_aggregation group_id 1 master_port 25 ports 25,26 state enabled

enable dos_prevention trap_log
config dos_prevention dos_type land_attack action drop state enable
config dos_prevention dos_type blat_attack action drop state enable
config dos_prevention dos_type tcp_null_scan action drop state enable
config dos_prevention dos_type tcp_xmasscan action drop state enable
config dos_prevention dos_type tcp_synfin action drop state enable
config dos_prevention dos_type tcp_syn_srcport_less_1024 action drop state enable
config dos_prevention dos_type ping_death_attack action drop state enable
config dos_prevention dos_type tcp_tiny_frag_attack action drop state enable

DES-3810
config vlan default delete 1-24
create vlan ZU1 tag 101
config vlan ZU1 add tagged 25-26
create vlan ZU2 tag 102
config vlan ZU2 add tagged 25-26
create vlan ZU3 tag 103
config vlan ZU3 add tagged 25-26
create vlan ZU4 tag 104
config vlan ZU4 add tagged 25-26
create vlan ZU5 tag 105
config vlan ZU5 add tagged 25-26
create vlan ZU6 tag 106
config vlan ZU6 add tagged 25-26
create vlan DIREKT tag 107
config vlan DIREKT add tagged 25-26
create vlan SKLAD tag 108
config vlan SKLAD add tagged 25-26
create vlan OPT tag 109
config vlan OPT add tagged 25-26
create vlan SRV tag 110
config vlan SRV add tagged 25-26
config vlan SRV add untagged 27
config ipif System ipaddress 10.90.90.90/30 vlan default state disable
create ipif ipzu1 10.0.101.1/24 ZU1 state enable
create ipif ipzu2 10.0.102.1/24 ZU2 state enable
create ipif ipzu3 10.0.103.1/24 ZU3 state enable
create ipif ipzu4 10.0.104.1/24 ZU4 state enable
create ipif ipzu5 10.0.105.1/24 ZU5 state enable
create ipif ipzu6 10.0.106.1/24 ZU6 state enable
create ipif ipdirekt 10.0.107.1/24 DIREKT state enable
create ipif ipsklad 10.0.108.1/24 SKLAD state enable
create ipif ipopt 10.0.109.1/24 OPT state enable
create ipif ipsrv 192.168.0.1/24 SRV state enable
create iproute default 192.168.1.1
config out_band_ipif ipaddress 192.168.100.1/24 gateway 0.0.0.0
enable dhcp_relay
config dhcp_relay add ipif ipzu1 192.168.0.250
config dhcp_relay add ipif ipzu2 192.168.0.250
config dhcp_relay add ipif ipzu3 192.168.0.250
config dhcp_relay add ipif ipzu4 192.168.0.250
config dhcp_relay add ipif ipzu5 192.168.0.250
config dhcp_relay add ipif ipzu6 192.168.0.250
config dhcp_relay add ipif ipdirekt 192.168.0.250
config dhcp_relay add ipif ipsklad 192.168.0.250
config dhcp_relay add ipif ipopt 192.168.0.250

create link_aggregation group_id 1 type lacp
config link_aggregation algorithm mac_destination config link_aggregation group_id 1 master_port 25 ports 25,26 state enabled
config lacp_ports 25,26 mode active
Вернуться наверх
 Профиль  
 
Vladimir22
СообщениеДобавлено: Вт окт 07, 2014 09:20 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9130
Откуда: Москва
ну если на DFL в качестве источника прилетает ваша сеть - то пишите правила блокировке этой сети прям на DFL .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку
Вернуться наверх
 Профиль  
 
YuriAM
СообщениеДобавлено: Вт окт 07, 2014 09:26 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
Почитал первый пост и не очень понял в чем проблема.

Чем плохо или трудно дать выход в инет на DFL-260E только группе разрешенных сетей/адресов? Остальные автоматически иметь его не будут.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.
Вернуться наверх
 Профиль  
 
Vladimir22
СообщениеДобавлено: Вт окт 07, 2014 10:26 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9130
Откуда: Москва
да дело в том, что не ясно что прилетает на DFL в качестве источника .... если сеть которая нужна - то можно дропить

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку
Вернуться наверх
 Профиль  
 
Evgeny54321
СообщениеДобавлено: Вт окт 07, 2014 11:25 
Не в сети

Зарегистрирован: Пн май 26, 2014 11:53
Сообщений: 63
YuriAM писал(а):
Почитал первый пост и не очень понял в чем проблема.

Чем плохо или трудно дать выход в инет на DFL-260E только группе разрешенных сетей/адресов? Остальные автоматически иметь его не будут.

Допустим хочу дать доступ сети 10.0.106.0/24
Прописываю на 3810
create iproute default 192.168.1.1

На dfl создаю
Скрытый текст: показать
Изображение

Скрытый текст: показать
Изображение

ZU6-net указываю 10.0.106.0/24
Но интернета на клиентах из сети 10.0.106.0 нет, и адрес 192.168.1.1 не пингуется.
Вернуться наверх
 Профиль  
 
YuriAM
СообщениеДобавлено: Вт окт 07, 2014 11:39 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
Вы попробуйте сами разобрать что-то на этих картинках. Я не буду - у меня зрение на казенное.

Я вообще не вижу никакой проблемы. Главное не забывать 2 золотых правила на DFL:
1. Для каждой сети должны существовать верные маршруты
2. Трафик должен быть разрешен IP правилами.

Как следствие, все ваши внутренние сети должны быть обозначены маршрутами. И для нужных разрешен доступ в инет. А пинг локальных адресов, конечно надо разрешить всем локальным сетям в целях диагностики.

покажите status-routes. в читаемом виде

А выход в инет можно разрешить одним правилом
NAT lan <группа_разрешенных_сетей> wan all-nets all-services

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.
Вернуться наверх
 Профиль  
 
Evgeny54321
СообщениеДобавлено: Вт окт 07, 2014 11:53 
Не в сети

Зарегистрирован: Пн май 26, 2014 11:53
Сообщений: 63
YuriAM писал(а):
Вы попробуйте сами разобрать что-то на этих картинках. Я не буду - у меня зрение на казенное.
покажите status-routes. в читаемом виде

Скрытый текст: показать
Изображение

Поидее с такими настройками должен быть интернет а его нету =) Где ошибка не понимаю
Вернуться наверх
 Профиль  
 
YuriAM
СообщениеДобавлено: Вт окт 07, 2014 12:48 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
Ну если даже сильно не сматриваться, для основного маршрута нужен шлюз. это проще решить, не создавая маршрут в ручную, а указав галку в настройках wan интерфейса

И маршрутов до всех ваших локальных сетей не видно.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.
Вернуться наверх
 Профиль  
 
Evgeny54321
СообщениеДобавлено: Ср окт 08, 2014 08:05 
Не в сети

Зарегистрирован: Пн май 26, 2014 11:53
Сообщений: 63
YuriAM писал(а):
Ну если даже сильно не сматриваться, для основного маршрута нужен шлюз. это проще решить, не создавая маршрут в ручную, а указав галку в настройках wan интерфейса

И маршрутов до всех ваших локальных сетей не видно.

Основной маршрут это create iproute default 192.168.1.1 ? Нужен шлюз на dfl или на DES-3810 ?
Имеется ввиду автоматическое добавление маршрута?см картинку
Скрытый текст: показать
Изображение
Вернуться наверх
 Профиль  
 
YuriAM
СообщениеДобавлено: Ср окт 08, 2014 08:12 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
1. у вас интернет канал организован через pppoe?
2. pppoe интерфейс называется wan?
3. с самого DFL пингуется интернет? например 8.8.8.8

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.
Вернуться наверх
 Профиль  
 
Evgeny54321
СообщениеДобавлено: Ср окт 08, 2014 10:36 
Не в сети

Зарегистрирован: Пн май 26, 2014 11:53
Сообщений: 63
YuriAM писал(а):
1. у вас интернет канал организован через pppoe?
2. pppoe интерфейс называется wan?
3. с самого DFL пингуется интернет? например 8.8.8.8

1. Интернет канал через pppoe
2. Да, PPPOE интерфейс называется wan
3. Да. С самого dfl пингуется 8.8.8.8.
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 2
  [ Сообщений: 27 ]  На страницу 1, 2  След.

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 394

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB