Добрый день!

Подскажите пожалуйста, возможно ли в данной модели конфигурировать отдельные LAN порты (LAN1, LAN2, LAN3, LAN4) а не весь LAN сразу.

Конкретно интересует возможность назначить на отдельные LAN порты разные сети.

Спасибо.
Сергей

Вот здесь недавно этот вопрос обсуждался...

_________________
В правильно поставленном вопросе содержится половина ответа.
DFL-210 (2.26.00.06) DFL-800 (2.26.00.06)

У DFL неуправляемый коммутатор. Портами LAN по отдельности управлять нельзя. Можно в одной физической сети настроить несколько IP подсетей. Как сделать несколько независимых интерфейсов - вам ссылку дали выше.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Спасибо за информацию, но опыта не хватает чтобы оценить всю мощь предлагаемых вариантов.
Если не очень напрягает, можно ли получить образец конфигурации (или более подробные пояснения) для моего случая:

1.Есть DFL 210, к которому подходит ряд шнурков (все они идут либо с конкретных рабочих мест, либо с неуправляемых свичей, которые не могут в общем случае делать Vlan)
2. Все шнурки (за исключением одного) - сеть типа 10.15.11.0/255.255.255.0
3. Один шнурок - сеть 172.16.1.0/255.255.255.0

Как настроить DFL (не используя DMZ), чтобы эти 2 сети маршрутизировались, чтобы DFL мог использовать syslog server в сети 172.16.1.0 и синхронизировать время с сервером времени из этой же сети.

Спасибо

Тут все необходимые действия для организации второй подсети

viewtopic.php?t=114002

Только делать надо применительно для LAN.

Вы ведь знаете, что не хорошо делать более одной IP подсети в одной физической сети. Но иногда приходится.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Спасибо огромное!

Еще несколько вопросов, если можно:

1.

Я так понял, что возможно создать несколько объектов в рамках одного 4-х портового интерфейса LAN. Например:
lan1_ip 192.168.1.1
lan1net 102.168.1.0/24
lan2_ip 172.16.1.1
lan2net 172.16.1.0/24
lan3_ip 10.15.11.1
lan3net 10.15.11.0/24

Правильно?

2.

Не совсем понятно как DFL 210 понимает, что эти объекты относятся к физическому интерфейсу LAN ??? По первым буквам названия объектов lan... ??
Где об этом механизме (создание несколько объектов в рамках одного физического интерфейса) можно почитать в официальной документации. Дайте пожалуйста ссылку !!!

3.

Количество созданных объектов LAN не может быть больше 4 ?
Т.е. каждый такой объект соответствует одному из 4-х портов LAN? Или это просто алиасы и их количество никак не связано с количеством портов LAN интерфейса ??

4.
Еще вопрос - ежели созданы объекты lan1.lan2,lan3 ..., то объект lan (который есть сейчас) теряет смысл и должен быть удален ??


Спасибо и надеюсь на помощь.

Сергей

Да. Любое кол-во

Вы привязывате это к LAN с помощью указанных действий. К имени объекта отношения это не имеет. Ссылка на инструкцию http://www.dlink.ru/ru/faq/85/481.html. Но в ней не описано одно полезное действие - привязка к core маршрута на доп. IP.

Можете поискать на тему ARP в руководстве на английском.

Последнее верно.

Зачем его удалять? Используйте его по прямому назначению.

Вы создаёте лишь доп. алиасы на интерфейе LAN. Чтобы создать независимые интерфейсы, понадобится коммутатор с поддержкой VLAN.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Спасибо!
Подскажите пожалуйста, а если добавляются несколько алиасов, то MAC адрес будет один и тот же - нулевой??
Сергей

Да. Это означает, что у всех алиасов MAC будет совпадать с основным MAC адресом lan интерфейса.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Спасибо за консультацию.
Вроде все сделал по инструкции.

1. Создал объекты lannet и lan_ip. С моей машины пингуется этот адрес (10.15.11.200). С этого же адреса пингуется моя машина (10.15.11.75). Вроде все нормально.

2. Создал объекты lan1_ip и lan1net по инструкции.

3. Изменил таблицу маршрутизации (приведена картинка и вид из статуса).

При этом наблюдается следующая картина:
С моей машины (172.16.1.100, 10.15.11.75) на lan_ip (10.15.11.200) и на lan1_ip (172.16.1.12) пинг идет.
С сервера (172.16.1.1) на lan1_ip (172.16.1.12) пинг тоже идет. Но !!!!!! пинг идет все время от адреса 10.15.11.200, т.е от lan_ip.
Соответственно и синхронизация времени на DFL от внешнего сервера (172.16.1.1) пытается идти не от адреса lan1_ip, а от lan_ip.

Логи привожу.
Собственно вопрос:
В чем не прав и как исправить.

Routing Table Contents

Routing table contents (max 100 entries)
Flags Network Interface Gateway Local IP Metric
10.15.11.200 core (Iface IP) 0
172.17.100.254 core (Iface IP) 0
194.114.132.90 core (Iface IP) 0
127.0.0.1 core (Iface IP) 0
172.16.1.12 core (Iface IP) 100
194.114.132.88/30 wan 100
172.17.100.0/24 dmz 100
10.15.11.0/24 lan 100
172.16.1.0/24 lan 172.16.1.12 100
224.0.0.0/4 core (Iface IP) 0
0.0.0.0/0 wan 194.114.132.89 100






Name
Address
User Auth Groups
Comments

dmz_ip
172.17.100.254 IPAddress of interface dmz
dmznet
172.17.100.0/24 The network on interface dmz
lan1_ip
172.16.1.12 local UESP
lan1net
172.16.1.0/24 local net
lan_ip
10.15.11.200 IPAddress of interface lan
lannet
10.15.11.0/24 The network on interface lan
uesp_server
172.16.1.1 SNTP_server UESP
wan_dns1
194.114.132.6 Primary DNS server for interface wan.
wan_dns2
194.114.132.1 Secondary DNS server for interface wan.
wan_gw
194.114.132.89 Default gateway for interface wan.
wan_ip
194.114.132.90 IPAddress of interface wan
wannet
194.114.132.88/30 The network on interface wan


ARP

Mode
Interface
IP address
MAC address
Comments

Publish
lan
lan1_ip
00-00-00-00-00-00
Алиас для второй сети на Lan интерфейсе



Вот дамп на пинг и запрос времени:

root@uesp:/var/log# tcpdump -i eth1 dst host 172.16.1.1 and proto 1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
10:47:29.923803 IP 10.15.11.200 > localnet.localnet: ICMP echo request, id 17247, seq 0, length 12
10:47:29.923810 IP 10.15.11.200 > localnet.localnet: ICMP echo request, id 17247, seq 1, length 12
10:47:29.923814 IP 10.15.11.200 > localnet.localnet: ICMP echo request, id 17247, seq 2, length 12
10:47:29.923817 IP 10.15.11.200 > localnet.localnet: ICMP echo request, id 17247, seq 3, length 12
10:47:29.923820 IP 10.15.11.200 > localnet.localnet: ICMP echo request, id 17247, seq 4, length 12
10:47:29.923825 IP 10.15.11.200 > localnet.localnet: ICMP echo request, id 17247, seq 5, length 12
10:47:29.923931 IP 10.15.11.200 > localnet.localnet: ICMP echo request, id 17247, seq 6, length 12
10:47:29.923935 IP 10.15.11.200 > localnet.localnet: ICMP echo request, id 17247, seq 7, length 12
10:47:29.923937 IP 10.15.11.200 > localnet.localnet: ICMP echo request, id 17247, seq 8, length 12
10:47:29.923939 IP 10.15.11.200 > localnet.localnet: ICMP echo request, id 17247, seq 9, length 12


root@uesp:/var/log# tcpdump -i eth1 -n dst host 172.16.1.1 and dst port 123
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
12:00:41.364845 IP 10.15.11.200.123 > 172.16.1.1.123: NTPv1, Client, length 48


Очень надеюсь на Вашу помощь.
Спасибо.
Сергей

Зачем вы какие-то лишние адреса к ядру привязывали (224.x.x.x, 127.0.0.1)?

Покажите все ваши правила. (IP Rules)

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

(224.x.x.x, 127.0.0.1) - этого я сам не привязывал.
Правила следующие:
к стандартным добавил только одну строку - Ping_Localnet

А, понятно. Это таблица маршрутов не DFL-я.

Я просил показать все ваши правила. Включая и папку lan_to_wan.
Вообще всех правил во всех папках в IP-Rules.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Возможно в будущем на DFL-800/860 появиться port based vlan, но это информация не точная.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Добрый день!

1.
Извините, не совсем понял замечание о том, что "Это таблица маршрутов не DFL-я". Эту инф. я получил по команде routes -all

DFL-210:/> routes -all
Flags Network Iface Gateway Local IP Metric
----- ------------------ -------------- --------------- --------------- ------
10.15.11.200 core (Iface IP) 0
172.17.100.254 core (Iface IP) 0
194.114.132.90 core (Iface IP) 0
127.0.0.1 core (Iface IP) 0
172.16.1.12 core (Iface IP) 100
194.114.132.88/30 wan 100
172.16.1.0/24 lan 172.16.1.12 100
172.17.100.0/24 dmz 100
10.15.11.0/24 lan 100
224.0.0.0/4 core (Iface IP) 0
0.0.0.0/0 wan 194.114.132.89 100
DFL-210:/>

2.
В IP Rules всего 3 строки.
картинку по 2-м я уже давал.

Вот 3-я и результат команды rules:

DFL-210:/> rules
Contents of ruleset; default action is DROP
# Act. Source Destination Protocol/Ports
-- ----- ---------------------- ---------------------- --------------
1 Allow lan:10.15.11.0/24 core:10.15.11.200 "ping-inbound"
2 Allow lan:172.16.1.0/24 core:172.16.1.12 "ping-inbound"
3 Drop lan:10.15.11.0/24 wan:0.0.0.0/0 "smb-all"
4 NAT lan:10.15.11.0/24 wan:0.0.0.0/0 "ping-outbound"
5 NAT lan:10.15.11.0/24 wan:0.0.0.0/0 "ftp-passthrough"
6 NAT lan:10.15.11.0/24 wan:0.0.0.0/0 "all_tcpudp"



Какая еще нужна информация??

Спасибо,
Очень надеюсь на Вашу помощь!

Сергей