1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Пт авг 29, 2025 20:55

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 8 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
stroman
СообщениеДобавлено: Вт апр 18, 2006 16:34 
Не в сети

Зарегистрирован: Сб дек 17, 2005 19:01
Сообщений: 43
можно ли к клиентам, подключённым в порты с 1 по 24 свитча 3526, запретить прохождение через 25 и 26 порты пакетов из всех сеток кроме 10.2.Х.Х/16?
какие ACL надо создать для этого?
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Вт апр 18, 2006 17:17 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Да можно. Причём это надо делать на пользовательских портах при помощи ACL IP type. Сначала разрешаете на портах 1-24 нужную подсеть, потом запрещаете всё остальное
Вернуться наверх
 Профиль  
 
stroman
 Заголовок сообщения:
СообщениеДобавлено: Вт апр 18, 2006 21:36 
Не в сети

Зарегистрирован: Сб дек 17, 2005 19:01
Сообщений: 43
если не трудно, можно это всё в командах?
а почему нельзя сделать блокировку только на 25 и 26 портах? плюс настроить трафик сегментатион?
и ещё.. если все клиенты работают через шлюз 10.2.X.Y, может быть сразу можно заблокировать доступ ко всем другим IP адресам? Клиентам естественно не нужно видеть друг друга напрямую.. Если возможно, то команды тоже бы очень помогли..
спасибо.
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Ср апр 19, 2006 10:34 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Настроить ACL на магистральных портах в вашем случае не выйдет так как они действуют только на входящий трафик. Мой совет Traffic segmentation + ACL на пользовательских портах. Я думаю с Traffic segmentation разберётесь, а ACL в вашем случае такие:
create access_profile ip source_ip_mask 255.255.0.0 profile_id 1
config access_profile profile_id 1 add access_id 1 ip source_ip 10.2.0.0 port 1-24 permit
create access_profile ip source_ip_mask 0.0.0.0 profile_id 2
config access_profile profile_id 2 add access_id 2 ip source_ip 0.0.0.0 port 1-24 deny
Вернуться наверх
 Профиль  
 
stroman
 Заголовок сообщения:
СообщениеДобавлено: Ср апр 19, 2006 10:43 
Не в сети

Зарегистрирован: Сб дек 17, 2005 19:01
Сообщений: 43
спасибо, буду пробовать.
а в какова последовательность проверки прохода пакета через ACL? если я запрещаю весь не IP и ARP траффик:
create access_profile ethernet ethernet_type profile_id 10
config access_profile profile_id 10 add access_id 1 ethernet ethernet_type 0x800 port 18 permit
config access_profile profile_id 10 add access_id 4 ethernet ethernet_type 0x806 port 18 permit
create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 11
config access_profile profile_id 11 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 18 deny,
то проверку сети надо поместить до или после этого?
т.е. мне требуется, чтобы пакет, попадая в порт, сначала проверялся по ethernet_type, если не IP/ARP, тогда убивался, иначе - дальше проверялся бы на соответствие сети 10.2.Х.Х и либо проходил, либо убивался..
не получится ли так, что проходя проверку на IP/ARP пакет сразу будет проходить дальше (без проверки на соответствие сети)?
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Ср апр 19, 2006 11:09 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Расположите его перед последним ACL Ethernet type на запрещение всех MAC-адресов
Вернуться наверх
 Профиль  
 
T_IgorWW
 Заголовок сообщения:
СообщениеДобавлено: Пт май 05, 2006 09:04 
Не в сети

Зарегистрирован: Ср мар 16, 2005 20:17
Сообщений: 207
Откуда: Трехгорный
На порту весит несколько сеток. Нужно одним сетям разрешить трафик, другим запретить, ну а третим оставить только пинги
Цитата:
# ACL

create access_profile ip source_ip_mask 255.255.255.0 profile_id 40
config access_profile profile_id 40 add access_id 1 ip source_ip 10.0.1.1 port 5 permit
config access_profile profile_id 40 add access_id 2 ip source_ip 10.0.2.1 port 5 permit
config access_profile profile_id 40 add access_id 3 ip source_ip 10.0.3.1 icmp port 5 permit

create access_profile ip source_ip_mask 0.0.0.0 profile_id 100
config access_profile profile_id 100 add access_id 5 ip source_ip 0.0.0.0 port 5 deny


Ну и вот проблема что неполучается оставить третим только пинги.
Как это лучше релиазовать?
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Пн май 15, 2006 15:30 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
В этом случае с этой подсети разрешён весь трафик, я так понимаю или что не получается?
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 8 ] 

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Bing [Bot] и гости: 23

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB