имеется внешняя сеть 192.168.3.0
шлюз 192.168.3.101 - это чужая сторона
она подключена в WAN DI-604 192.168.3.1 - это наша сторона
из него выходит LAN в DES-3326S 192.168.4.37
в DES-3326S входит на 4-ом порту 192.168.4.40 (System interface)

клиенты сети DES-3326S пингуют 192.168.4.40 и 192.168.4.37
выходят в сеть через 192.168.4.40, как через шлюз
но могут выйти через 192.168.4.37, тоже как через шлюз

требуется спрятать 192.168.4.37
шлюз для клиентов должен быть только DES-3326S (192.168.4.40)
из сети 192.168.4.0, DI-604 (192.168.4.37) не должен быть виден для клиентов

между DES-3326S и DI-604 IP адреса можно поменять на другие

я уже пробовал, но не получилось
не могу догнать в чем заковыка


еще один вопрос по DES-3326S
как можно запретить хождение по сети всех чужих IP адресов, кроме указанных где-то (подскажите где)?
тоже самое касается МАС

1. Создайте отдельный VLAN и ipif интерфейс для пользователей, тогда шлюзом у них будет ipif данного VLAN-а.

2. Для запрета чужих Мас-ов используйте функцию Port Security, нужно отключить автообучение на портах и прописать статически записи. Для фильтрации IP Вы можете использовать ACL и фильтровать по Source IP.

_________________
С уважением,
Бигаров Руслан.

все мои пользователи сидят в сети 192.168.4.0
это default VLAN
я бы хотел создать VLAN "corporate" между DI-604 и DES-3326S
я пробовал так:
- создал VLAN "corporate"
- на LAN DI-604 ставил 192.168.8.1 (WAN 192.168.3.1)
- на DES-3326S ставил interface "corporate" 192.168.8.2 (system 192.168.4.40)
а дальше ничего не пинговалось
что не так?



пробовал именно так
один из МАСов оставил динамическим
но он по прежнему имеет доступ к сети
в чем тут проблема?


так я и думал.
буду штурмовать АCL'ы

Лучше обсудить это по телефону, пожалуйста, позвоните мне в офис по телефону (495)744-0099 доб.392

_________________
С уважением,
Бигаров Руслан.

Пусть DI-604 сидит в VLAN default, а пользователи в VLAN corporate, тогда у пользователей шлюзом будет ipif corporate. Но чтобы всё работало, нужно на DI-604 на LAN интерфейсе добавить маршрут до пользовательской подсети.



Подробнее опишите, пожалуйста, не совсем понятно.

_________________
С уважением,
Бигаров Руслан.

Port Configuration -> Learn - Disabled
Port Security Settings -> Admin State - Enabled; Lock Address Mode - DeleteOnTimeout
Unicast MAC Address Settings -> записал МАС'и и порты
Static ARP -> записал IP адреса с соответствующими МАС'ами
но не записал некоторые МАС'и и IP адреса.
они имеют статус Dynamic

насколько я понял, теперь адреса Dynamic не должны проходить.
но они по прежнему могут работать в сети

что не так?

none

\\ Отключение автообучения на портах:
config port_security ports 1-24 admin_state enabled max_learning_addr 0
\\ Пример добавления статической записи:
create fdb default 00-50-ba-00-00-01 port 2

P.S.: После отключения автообучения и по истечении FDB Ageing Time динамические записи должны пропасть и трафик от них будет блокироваться. Либо можно ускорить процесс и очистить таблицу.

_________________
С уважением,
Бигаров Руслан.

Пользователи НЕ ДОЛЖНЫ быть в управляющем VLAN-е - это закон!

Для начала обновите прошивку для DI-604 до последней версии. А вопросы по настройке DI-604, пожалуйста, задайте в соответствующей ветке.

_________________
С уважением,
Бигаров Руслан.

Понял.
Действительно, прошивка была очень древней.
Обновил до самой свежей (взял с FTP).

Следовательно расклад такой:
DI-604 WAN - 192.168.3.1
DI-604 LAN - 192.168.8.1
DES-3326S - ipif System - 192.168.8.2
DES-3326S - ipif LAN - 192.168.4.40
DES-3326S - VLAN LAN 192.168.4.0 - для клиентов локалки
DES-3326S - VLAN default 192.168.8.0 - сеть шлюза

Всё верно?

Если у меня появится еще один или несколько шлюзов в другие сети.
Как быть в таком случае?
Создавать новые VLAN'ы для новых шлюзов?

DI-604 я использую как firewall, т.к. есть такая необходимость.
Если его убрать, то необходимо будет использовать ACL'ы DES-3326S чтобы защитить сеть?
Что Вы посоветуете в этом случае - использовать внешний firewall или воспользоваться средствами DES-3326S?

Заковыка оказалась в кол-ве max_learning_addr - я не поставил 0.
Как только поставил, сразу всё заработало.


Здесь другая проблема - при внесении MAC'ов, ответ Fail!
В чем здесь проблема?
Вот МАС'и:
00-16-6F-4A-A8-19
00-14-22-D7-C6-7F
00-01-03-D6-42-B6
00-0D-87-2F-0D-03
00-12-79-BB-35-39
Остальные 36 прошли и работают.

Попробуйте прошивку, которую я вам выслал.

Firewall на DI-604 не отключается. ACL'ы на DES-3326S нужны для контролирования локального трафика.

_________________
С уважением,
Бигаров Руслан.

Уже только в понедельник.