D-Link • Просмотр темы

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

VLAN & ACL DGS-3324SR

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 2

[ Сообщений: 19 ]

На страницу 1, 2 След.

Предыдущая тема | Следующая тема

Автор

Сообщение

bonin_a

Заголовок сообщения: VLAN & ACL DGS-3324SR

Добавлено: Пт дек 15, 2006 15:04

Зарегистрирован: Чт дек 14, 2006 16:29
Сообщений: 17

Здравствуйте!
Нужна Ваша помощь!
есть DGS 3324SR прошивка 4.40-B04

есть сети 192.168.0.0/255.255.255.0
192.168.1.0/255.255.255.0
192.168.2.0/255.255.255.0
192.254.189.0/255.255.255.0

Серверы находятся в сети 192.168.0.0 порты 1-4

Создаю для каждой подсети свой VLAN:

default порты 1-4 серверы, сеть 192.168.0.0 интерфейс vlan default 192.168.0.2

adm порты 5-8 юзеры, сеть 192.168.0.0 интерфейса vlan adm нет
edu порты 9-10 юзеры, сеть 192.168.1.0 интерфейс vlan edu 192.168.1.2
bunker порты 11-12 юзеры, сеть 192.168.2.0 интерфейс vlan bunker 192.168.2.2
fin порты 13-14 юзеры, сеть 192.254.189.0 интерфейс vlan fin 192.254.189.2

1. Нужно сделать так, чтобы к vlan default был доступ из всех vlan
2. Между vlan adm,edu,bunker,fin доступа нет.

Я так понял, что это решается с помощью ACL.
Помогите!
Заранее Спасибо!

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения: Re: VLAN & ACL DGS-3324SR

Добавлено: Пт дек 15, 2006 17:08

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

При статической маршрутизации между vlan-ами, два vlan-а не могут иметь IP-адреса на интерфейсах из одной подсети, иначе, смысл теряется во всём этом. Поэтому я сделал подсеть 192.168.10.0/24 на портах 1-4, и настройки в вашем случае будут выглядеть так:

# VLAN

config vlan default delete 1:1-1:24
config vlan default add untagged 1:1-1:4
config vlan default advertisement enable
create vlan adm tag 2 type 1q_vlan
config vlan adm add untagged 1:5-1:8 advertisement disable
create vlan edu tag 3 type 1q_vlan
config vlan edu add untagged 1:9-1:10 advertisement disable
create vlan bunker tag 4 type 1q_vlan
config vlan bunker add untagged 1:11-1:12 advertisement disable
create vlan fin tag 5 type 1q_vlan
config vlan fin add untagged 1:13-1:14 advertisement disable
disable gvrp
config gvrp 1:1-1:4,1:15-1:24 state disable ingress_checking enable acceptable_frame admit_all pvid 1
config gvrp 1:5-1:8 state disable ingress_checking enable acceptable_frame admit_all pvid 2
config gvrp 1:9-1:10 state disable ingress_checking enable acceptable_frame admit_all pvid 3
config gvrp 1:11-1:12 state disable ingress_checking enable acceptable_frame admit_all pvid 4
config gvrp 1:13-1:14 state disable ingress_checking enable acceptable_frame admit_all pvid 5

# ACL

create access_profile ip source_ip_mask 255.255.255.0 destination_ip_mask 255.255.255.0 profile_id 1
create access_profile ip source_ip_mask 0.0.0.0 destination_ip_mask 0.0.0.0 profile_id 8
disable cpu_interface_filtering
config access_profile profile_id 1 add access_id auto_assign ip source_ip 192.168.0.0 destination_ip 192.168.10.0 port 1:5-1:8 permit
config access_profile profile_id 1 add access_id auto_assign ip source_ip 192.168.1.0 destination_ip 192.168.10.0 port 1:9-1:10 permit
config access_profile profile_id 1 add access_id auto_assign ip source_ip 192.168.2.0 destination_ip 192.168.10.0 port 1:11-1:12 permit
config access_profile profile_id 1 add access_id auto_assign ip source_ip 192.254.189.0 destination_ip 192.168.10.0 port 1:13-1:14 permit
config access_profile profile_id 1 add access_id auto_assign ip source_ip 192.168.10.0 destination_ip 0.0.0.0 port 1:1-1:4 permit
config access_profile profile_id 8 add access_id auto_assign ip source_ip 0.0.0.0 destination_ip 0.0.0.0 port 1:5-1:14 deny

# IP

config ipif System vlan default ipaddress 192.168.10.2/24 state enable
config ipif_mac_mapping ipif adm mac_offset 1
create ipif adm 192.168.0.2/24 adm state enable
config ipif_mac_mapping ipif edu mac_offset 2
create ipif edu 192.168.1.2/24 edu state enable
config ipif_mac_mapping ipif bunker mac_offset 4
create ipif bunker 192.168.2.2/24 bunker state enable
config ipif_mac_mapping ipif fin mac_offset 3
create ipif fin 192.254.189.2/24 fin state enable

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

bonin_a

Заголовок сообщения:

Добавлено: Пт дек 15, 2006 18:04

Зарегистрирован: Чт дек 14, 2006 16:29
Сообщений: 17

Спасибо за ответ!
Дело в том, что я не могу менять подсеть этих серверов которые на портах 1-4.
Может VLAN default и adm если уж они в одной подсети объединить, но сделать ограничения на портах?

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Пт дек 15, 2006 18:16

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Можно и так.

Вернуться наверх

bonin_a

Заголовок сообщения:

Добавлено: Пн дек 18, 2006 15:30

Зарегистрирован: Чт дек 14, 2006 16:29
Сообщений: 17

А без GVRP можно обойтись?

Последний раз редактировалось bonin_a Пн дек 18, 2006 15:41, всего редактировалось 2 раз(а).

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Пн дек 18, 2006 15:37

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Можно, это настройки вообщем по пунктам. На Вашу ситуацию они никак не влияют.

Вернуться наверх

bonin_a

Заголовок сообщения:

Добавлено: Пн дек 18, 2006 15:41

Зарегистрирован: Чт дек 14, 2006 16:29
Сообщений: 17

что значит advertisement enabled/disabled ? и почему он в default enabled, в остальных disabled?

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Пн дек 18, 2006 15:54

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Перезвоните пожалуйста в офис по телефону 744-00-99 доб.390.

Вернуться наверх

bonin_a

Заголовок сообщения:

Добавлено: Вт дек 19, 2006 13:22

Зарегистрирован: Чт дек 14, 2006 16:29
Сообщений: 17

Скажите, такой план действий будет правильный?(взял с ftp.dlink.ru)
Правила:
Если Dest. IP=192.168.1.x, то разрешить доступ
Если Src. IP=192.168.1.x, то разрешить доступ
Если DestIP=192.168.2.x и SrcIP=192.168.2.x, то разрешить доступ
Если DestIP=192.168.3.x и SrcIP=192.168.3.x, то разрешить доступ
Если DestIP=192.168.4.x и SrcIP=192.168.4.x, то разрешить доступ
Запретить все остальное
# создадим правила доступа
# разрешить доступ только к подсети 192.168.1.x из других подсетей
create access_profile ip destination_ip_mask 255.255.255.0 permit profile_id 10
config access_profile profile_id 10 add access_id 11 ip destination_ip 192.168.1.2
create access_profile ip source_ip_mask 255.255.255.0 permit profile_id 20
config access_profile profile_id 20 add access_id 21 ip source_ip 192.168.1.2
# разрешить доуступ внутри подсетей 192.168.2.x, 192.168.3.x и 192.168.2.x.
create access_profile ip source_ip_mask 255.255.255.0 destination_ip_mask 255.255.255.0 permit profile_id 30
config access_profile profile_id 30 add access_id 31 ip source_ip 192.168.2.2 destination_ip 192.168.2.2
config access_profile profile_id 30 add access_id 32 ip source_ip 192.168.3.2 destination_ip 192.168.3.2
config access_profile profile_id 30 add access_id 33 ip source_ip 192.168.4.2 destination_ip 192.168.4.2
#### здесь можно добавить другие сети, при необходимости
# запретить все остальное.
create access_profile ip source_ip_mask 0.0.0.0 deny profile_id 40
config access_profile profile_id 40 add access_id 41 ip source_ip 0.0.0.0

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Вт дек 19, 2006 18:03

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

Можно, только нужно синтаксис CLI соблюдать, если вам нужно решить эту задачу для DGS-3324SR, то:

create access_profile ip source_ip_mask 255.255.255.0 destination_ip_mask 255.255.255.0 profile_id 1
config access_profile profile_id 1 add access_id auto_assign ip source_ip 192.168.2.0 destination_ip 192.168.2.0 port 1:1-1:24 permit
config access_profile profile_id 1 add access_id auto_assign ip source_ip 192.168.3.0 destination_ip 192.168.3.0 port 1:1-1:24 permit
config access_profile profile_id 1 add access_id auto_assign ip source_ip 192.168.4.0 destination_ip 192.168.4.0 port 1:1-1:24 permit

create access_profile ip source_ip_mask 255.255.255.0 profile_id 2
config access_profile profile_id 2 add access_id auto_assign ip source_ip 192.168.1.0 port 1:1-1:24 permit

create access_profile ip destination_ip_mask 255.255.255.0 profile_id 3
config access_profile profile_id 3 add access_id auto_assign ip destination_ip 192.168.1.0 port 1:1-1:24 permit

create access_profile ip source_ip_mask 0.0.0.0 destination_ip_mask 0.0.0.0 profile_id 8
config access_profile profile_id 8 add access_id auto_assign ip source_ip 0.0.0.0 destination_ip 0.0.0.0 port 1:1-1:24 deny

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

bonin_a

Заголовок сообщения:

Добавлено: Пн апр 16, 2007 13:27

Зарегистрирован: Чт дек 14, 2006 16:29
Сообщений: 17

Подскажите пожалуйста, если ипользовать эти правила:

# ACL

create access_profile ip source_ip_mask 255.255.255.0 destination_ip_mask 255.255.255.0 profile_id 1
create access_profile ip source_ip_mask 0.0.0.0 destination_ip_mask 0.0.0.0 profile_id 8
disable cpu_interface_filtering
config access_profile profile_id 1 add access_id auto_assign ip source_ip 192.168.0.0 destination_ip 192.168.10.0 port 1:5-1:8 permit
config access_profile profile_id 1 add access_id auto_assign ip source_ip 192.168.1.0 destination_ip 192.168.10.0 port 1:9-1:10 permit
config access_profile profile_id 1 add access_id auto_assign ip source_ip 192.168.2.0 destination_ip 192.168.10.0 port 1:11-1:12 permit
config access_profile profile_id 1 add access_id auto_assign ip source_ip 192.254.189.0 destination_ip 192.168.10.0 port 1:13-1:14 permit
config access_profile profile_id 1 add access_id auto_assign ip source_ip 192.168.10.0 destination_ip 0.0.0.0 port 1:1-1:4 permit
config access_profile profile_id 8 add access_id auto_assign ip source_ip 0.0.0.0 destination_ip 0.0.0.0 port 1:5-1:14 deny

,то нужно ли включать в них тэгированные порты, т.к. vlan еще находятся и на других свичах? и как добавить в правило порт 1:1-1:4 и еще к примеру 1:24
Спасибо!

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Пн апр 16, 2007 15:50

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

1. Нужно.
2. config access_profile profile_id 1 add access_id auto_assign ip source_ip 192.168.10.0 destination_ip 0.0.0.0 port 1:1-1:4,1:24 permit

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

bonin_a

Заголовок сообщения:

Добавлено: Вт апр 17, 2007 10:12

Зарегистрирован: Чт дек 14, 2006 16:29
Сообщений: 17

Подскажите, по какой причин не создается правило:
create access_profile ip source_ip_mask 255.255.255.0 destination_ip_mask 255.255.255.0 profile_id 1
create access_profile ip source_ip_mask 0.0.0.0 destination_ip_mask 0.0.0.0 profile_id 8
disable cpu_interface_filtering
config access_profile profile_id 1 add access_id auto_assign ip source_ip 192.168.1.0 destination_ip 192.168.0.0 port 1:5-1:6,1:23 permit
config access_profile profile_id 1 add access_id auto_assign ip source_ip 192.168.2.0 destination_ip 192.168.0.0 port 1:7-1:17,1:23-1:24 permit
config access_profile profile_id 1 add access_id auto_assign ip source_ip 192.168.3.0 destination_ip 192.168.0.0 port 1:18 permit
config access_profile profile_id 1 add access_id auto_assign ip source_ip 192.254.189.0 destination_ip 192.168.0.0 port 1:19-1:22,1:23 permit
config access_profile profile_id 1 add access_id auto_assign ip source_ip 192.168.0.0 destination_ip 0.0.0.0 port 1:1-1:4 permit
config access_profile profile_id 8 add access_id auto_assign ip source_ip 0.0.0.0 destination_ip 0.0.0.0 port 1:5-1:24 deny

получаю вот что:
GS-3324SR:4#config access_profile profile_id 1 add access_id auto_assign ip sou
rce_ip 192.168.3.0 destination_ip 192.168.0.0 port 1:18 permit
Command: config access_profile profile_id 1 add access_id auto_assign ip source_
ip 192.168.3.0 destination_ip 192.168.0.0 port 1:18 permit

Fail!
А через web добавить правило получается!!!

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Вт апр 17, 2007 11:46

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

2 bonin_a > Приведите, пожалуйста, пример всех правил ACL, которые Вы вводите в CLI, а также укажите, пожалуйста, версию FW.

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

bonin_a

Заголовок сообщения:

Добавлено: Вт апр 17, 2007 11:49

Зарегистрирован: Чт дек 14, 2006 16:29
Сообщений: 17

Firmware Version Build 4.40-B04

Это все правила:

create access_profile ip source_ip_mask 255.255.255.0 destination_ip_mask 255.255.255.0 profile_id 1
create access_profile ip source_ip_mask 0.0.0.0 destination_ip_mask 0.0.0.0 profile_id 8
disable cpu_interface_filtering
config access_profile profile_id 1 add access_id auto_assign ip source_ip 192.168.1.0 destination_ip 192.168.0.0 port 1:5-1:6,1:23 permit
config access_profile profile_id 1 add access_id auto_assign ip source_ip 192.168.2.0 destination_ip 192.168.0.0 port 1:7-1:17,1:23-1:24 permit
config access_profile profile_id 1 add access_id auto_assign ip source_ip 192.168.3.0 destination_ip 192.168.0.0 port 1:18 permit
config access_profile profile_id 1 add access_id auto_assign ip source_ip 192.254.189.0 destination_ip 192.168.0.0 port 1:19-1:22,1:23 permit
config access_profile profile_id 1 add access_id auto_assign ip source_ip 192.168.0.0 destination_ip 0.0.0.0 port 1:1-1:4 permit
config access_profile profile_id 8 add access_id auto_assign ip source_ip 0.0.0.0 destination_ip 0.0.0.0 port 1:5-1:24 deny

Вернуться наверх

Страница 1 из 2

[ Сообщений: 19 ]

На страницу 1, 2 След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 40

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения