D-Link • Просмотр темы - DES-3526 ACL, где ошибка

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

DES-3526 ACL, где ошибка

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 3

[ Сообщений: 38 ]

На страницу 1, 2, 3 След.

Предыдущая тема | Следующая тема

Автор

Сообщение

Morpeh

Заголовок сообщения: DES-3526 ACL, где ошибка

Добавлено: Пт окт 05, 2007 18:28

Зарегистрирован: Пт апр 01, 2005 17:41
Сообщений: 177
Откуда: Омск

задача разрешить клиенту на порту 9 пользоваться локальной сетью (10.0.0.0) и запретить все другие.

Код:

# Профиль для разрешения локальной сети
create access_profile ip destination_ip_mask 255.0.0.0 profile_id 10
# Пример на 9 порт
config access_profile profile_id 10 add access_id 9 ip destination_ip 10.0.0.0 port 9 permit

# Профиль запрещающйи всё что не разрешено
create access_profile ip destination_ip_mask 0.0.0.0 profile_id 254
№ Пример на 9 порт
config access_profile profile_id 254 add access_id 9 ip destination_ip 0.0.0.0 port 9 deny

господа подскажите где ошибся?
DES-3526
Boot PROM Version 3.00.008
Firmware Version 5.01-B07
Hardware Version 3A1

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Пт окт 05, 2007 20:24

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Вроде всё правильно. А что не работает?

Вернуться наверх

Morpeh

Заголовок сообщения:

Добавлено: Пт окт 05, 2007 20:31

Зарегистрирован: Пт апр 01, 2005 17:41
Сообщений: 177
Откуда: Омск

да, не работает...

проверил на другом комутаторе заработало.
на но нём я полный reset после прошивке сделал.

в 1-м, только ребут после перепрошивке был.

подскажите как поведёт себя "кольцо" MSTP после сброса одного из коммутатора в заводские установки?

и ещё вопросик, есть ли способ, так маску в профиле указать что бы правила можно было указывать более гибкие что бы и сеть и конкретный iP указать можно было в иделе конечо, и с портами
допустим к одному профилю в одном правиле разрешить всю сеть и один IP из другой...

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Пт окт 05, 2007 21:10

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Рад слышать!

1) Всё зависит от того как у вас VLAN-ы прокинуты. Если управляюший не первый то кольцо разорвётся. И FBDU по умолчанию выключен.

2) К сожалению нет. Масок переменной длины в правилах нет.

Вернуться наверх

Morpeh

Заголовок сообщения:

Добавлено: Пт окт 05, 2007 21:23

Зарегистрирован: Пт апр 01, 2005 17:41
Сообщений: 177
Откуда: Омск

жаль...

так ещё раз про кольца, главное что бы сеть не рухнула...
интересует безопасный способ по череди reset сделать, что бы страдал один дом в кольце.

Код:

# STP

config stp version mstp
config stp maxage 20 maxhops 20 forwarddelay 15 txholdcount 6 fbpdu enable
config stp priority 32768 instance_id 0
create stp instance_id 2
config stp instance_id 2 add_vlan 5-6,8,201-202,4001
config stp priority 32768 instance_id 2
create stp instance_id 3
config stp instance_id 3 add_vlan 7
config stp priority 32768 instance_id 3
config stp mst_config_id name testName revision_level 1
enable stp
config stp ports 1-24 externalCost auto hellotime 2 edge true p2p auto state enable
config stp ports 1-26 fbpdu disable
config stp ports 1-26 restricted_role false
config stp ports 1-26 restricted_tcn false
config stp mst_ports 1-26 instance_id 0 internalCost auto priority 128
config stp ports 25-26 externalCost auto hellotime 2 edge false p2p auto state enable
config stp mst_ports 1-26 instance_id 2 internalCost auto priority 128
config stp mst_ports 1-26 instance_id 3 internalCost auto priority 128

клиентские порты 1-24
магистральные порты 25-26
7 VLAN - управления.
4001 - видео мультикаст.

и ещё может порекомендуете, изменения какие либо сделать что бы уменьшить время сходимости.

p.s.
вот за что люблю DLink, так за то что помогают в любое время дня и ночи :-)

рекспект как говриться

Последний раз редактировалось Morpeh Пт окт 05, 2007 21:30, всего редактировалось 1 раз.

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Пт окт 05, 2007 21:27

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

А сколько устройств в кольце?

Вернуться наверх

Morpeh

Заголовок сообщения:

Добавлено: Пт окт 05, 2007 21:31

Зарегистрирован: Пт апр 01, 2005 17:41
Сообщений: 177
Откуда: Омск

9 в 3-х, в одном 12
все сходятся на DXS-3326GSR

Последний раз редактировалось Morpeh Пт окт 05, 2007 21:33, всего редактировалось 1 раз.

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Пт окт 05, 2007 21:33

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

А время сходимости сейчас?

Вернуться наверх

Morpeh

Заголовок сообщения:

Добавлено: Пт окт 05, 2007 21:33

Зарегистрирован: Пт апр 01, 2005 17:41
Сообщений: 177
Откуда: Омск

примерно 20 сек.

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Пт окт 05, 2007 21:35

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

И везде прошивки 5.01-B07?

Вернуться наверх

Morpeh

Заголовок сообщения:

Добавлено: Пт окт 05, 2007 21:38

Зарегистрирован: Пт апр 01, 2005 17:41
Сообщений: 177
Откуда: Омск

да

с ipmac блокировкой были. решили перешить. вчера утром.
заливку и ребут скриптом уже давно наладили...

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Пт окт 05, 2007 21:42

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Т.е. сейчас все в кольце с такой или будут? Т.е. нужно смотреть время сходимости при одиночном разрыве именно с новой прошивкой.

Вернуться наверх

Morpeh

Заголовок сообщения:

Добавлено: Пт окт 05, 2007 21:46

Зарегистрирован: Пт апр 01, 2005 17:41
Сообщений: 177
Откуда: Омск

Да, сейчас в кольце 5.01-B07, но учитывая что проблемы с IPMAC не устранились и как видемо с ACL появились, нужно всё сбрасывать к заводским настройкам и заново конфиг заливать.
последний раз это в таком маштабе делалось при переходе с 4 на 5.

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Пт окт 05, 2007 21:52

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Ну вот это конечно надо сделать. По идее кольцо будет разорвано но если прокинуть с одной стороны первый VLAN не закольцовывая его по логике вещей всё должно быть нормально. А потом быстро залить конфиг.

Вернуться наверх

Morpeh

Заголовок сообщения:

Добавлено: Пт окт 05, 2007 21:57

Зарегистрирован: Пт апр 01, 2005 17:41
Сообщений: 177
Откуда: Омск

1 велан у нас на всех магистральных как унтагет, как раз для таких случаев, спасало не раз.

в прошлый глобальный перегРуз, я специально разрывал кольца в центре и по одному "перегружал" :lol:

но эт долго.

вот и интересно как без разрыва всё провести. получноников в сети развелось, огорчать не хочется...

Вернуться наверх

Страница 1 из 3

[ Сообщений: 38 ]

На страницу 1, 2, 3 След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 10

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения