Я Вам всё-таки рекомендую презвонить в офис по телфону 744-00-99 или указать ваш телефон. После разговора я думаю большинство вопросов снимется.

Иван, как я уже писал, позвонить не могу, так как во первых дорого , а во вторых мне проще написать, так как имеется время на подготовку ответов, а в случае телефонного звонка, я вероятно не смогу ответить на какие-нибудь вопросы Ваших специалистов, так как сетями занимаюсь не долго
Мне наконец сформировали в организации мою задачу полностью. Необходимо создать vlan-ы (один vlan - одно подразделение), компы из vlan-ов не должны видеть компы из других vlan-ов, кроме vlan-а с серверами и компами администратора. VLAN создавать на основе IP-адресов. Каждый vlan должен иметь свой ip (своя подсеть класса С). В подразделениях неуправляемые коммутаторы, они подключены к двум DES-3828 (часть к одному, часть к другому, бывает что к DES 3828 подключен неуправляемый коммутатор, а уже к нему подключаются неуправляемые коммутаторы подразделений). Оба коммутатора подсоедененены к неуправляемому коммутатору (не D-Link), но решено закупить DSG-3024. Причем, на одном порту DES 3828 может быть несколько vlan (подразделений).
Приведите пожалуйста возможный вариант настройки ACL, так как все вышеприведенные примеры несколько отличаются от необходимого. Спасибо.

А Вы не могли за консультацией обратиться в местный офис. Там бы вам помогли быстрее и эффективнее. Также укажите Ваш телефон по возможности.

Связался с помощью е-майл с региональной службой поддержки. Предложили, как вариант, отказаться от vlan и использовать с помощью acl указания маршрутизации между подсетями(каким куда можно ходить каким куда нельзя), например:

Отсюда возник ряд вопросов:
1. Какой принцип используется при задании acl: все что не запрещено разрешено или все что не разрешено запрещено
2. Как наиболее оптимально написать ACL, если мне надо запретить маршрутизацию между подсетями 192.168.2.0/24, 192.168.3.0/24,...,192.168.254.0/24, но разрешить маршрутизацию из каждой из этих подсетей в подсеть 192.168.1.0/24 (сервера и админы). Как бы написать это покороче? А то вручную для каждой подсети прописывать долго. Причем члены одной подсети могут быть на разных портах коммутатора, т.е. порты указывать не надо? или указать 1-24? А всю остальную, не разрешенную маршрутизацию нужно запретить.
3. Вообще этот вариант лучше/хуже/единственный возможный при существующих условиях? Или лучше с vlan-ами делать (но как не понятно).

_________________
DIR-620

1) Вы в любом случае не можете отказаться от использования если Вам нужна маршрутизация между подсетями VLAN-ов, так как IP-интерфейсы привязываются к ним. Фильтрацию Вы выполняете между подсетями.

2) Всё что не запрещено разрешено. Это механизм по умолчанию.

3) Правильно ли я понял что у Вас клиенты в разных подсетях могут быть на одном порту.

Я имел ввиду подсети всей сети организации.

Да. На одном порту коммутатора могут быть клиенты из разных подсетей
Вот набросал схемку (сильно не смейтесь), может вам понятнее будет
http://arvistsoftware.narod.ru/1.gif

_________________
DIR-620

А кстати сколько у Вас реально подсетей макисмум? Вот пример:

create access_profile ip source_ip_mask 0.0.0.0 destination_ip_mask 255.255.255.0 profile_id 1
config access_profile profile_id 1 add access_id auto_assign ip source_ip 0.0.0.0 destination_ip 192.168.1.0 port 1-24 permit

create access_profile ip source_ip_mask 255.255.255.0 destination_ip_mask 0.0.0.0 profile_id 2
config access_profile profile_id 2 add access_id auto_assign ip source_ip 192.168.1.0 destination_ip 0.0.0.0 port 1-24 permit

create access_profile ip source_ip_mask 255.255.255.0 destination_ip_mask 255.255.255.0 profile_id 3
config access_profile profile_id 3 add access_id auto_assign ip source_ip 192.168.1.0 destination_ip 192.168.1.0 port 1-24 permit

config access_profile profile_id 3 add access_id auto_assign ip source_ip 192.168.2.0 destination_ip 192.168.2.0 port 1-24 permit

config access_profile profile_id 3 add access_id auto_assign ip source_ip 192.168.3.0 destination_ip 192.168.3.0 port 1-24 permit

create access_profile ip source_ip_mask 0.0.0.0 destination_ip_mask 0.0.0.0 profile_id 4
config access_profile profile_id 4 add access_id auto_assign ip source_ip 0.0.0.0 destination_ip 0.0.0.0 port 1-24 deny

Это для всех клиентских портов.

Максимум будет около 30 подсетей.
192.168.1.0 - это администраторы и сервера
192.168.2.0 - 192.168.30.0 - подразделения, одна подсеть на подразделение.
Можно как-нибудь задать одни правилом для подсетей 192.168.2.0 - 192.168.30.0 чтобы клиенты могли только обращаться к компам в своей подсети и к серверной подсети 192.168.1.0 ?

Upd А что будет происходить при задании указанных выше правил с UDP-пакетами? Они будут ходить только внутри указанных подсетей? Если нет, то как ограничить их хождение только внутри указанных подсетей, т.е. как уменьшить broadcast-траффик, ведь это главным образом udp?
Upd2 только что получил новый DGS-3024

_________________
DIR-620

Одним правилом не обойтись, нужно для каждой подсети делать своё правило по примеру Ивана Дёмина с profile_id 3.

_________________
С уважением,
Бигаров Руслан.

А как ограничить udp и icmp броадкаст, будет ли он ограничивать в случае задания указанных выше правил соответствующими подсетями, или нет? Если нет, то как ограничить ещё udp по аналогии с указанным выше? Приведите пожалуйста пример CLI =)

_________________
DIR-620

Будет, но не забудьте также создать 4 профиль, как в примере.

_________________
С уважением,
Бигаров Руслан.

Подскажите пожалуйста, а не лишняя здесь вот эта строка:


ведь вроде и так разрешили...???

или я чего то недопонял ? Просто сейчас ради теста собрал и прописал только вот эти правила и все бегает в пределах 192.168.1.0

Можно убрать.

А вот DHCP Relay не получается заставить работать с таким набором правил, чего то не хватает ? При условии что DHCP находится в подсети 192.168.1.0, а порты 23-24 магистральные между коммутаторами...

Правильно, они рубятся 4-ым профилем.

_________________
С уважением,
Бигаров Руслан.