Доброго времени суток!

Подскажите пожалуйста в следующем вопросе:

На данном коммутаторе имеются 3 подсети 10.1.1.0/24(VLAN1) - сервера, 172.16.1.0/24VLAN2) - офисная локалка, 192.168.0.0/16VLAN3) - общая локалка.

Делаю маршрутизацию между подсетями. Возник вопрос, каким правилом разрешить маршрутизацию между подсетями 10.1.1.0 и 172.16.1.0 и запретить маршрутизацию между подсетями 192.168.0.0 и 172.16.1.0????

в том то и дело что прописать на des 3828 это правило не получается!

Можно по портам:

create access_profile ip destination_ip_mask 255.255.255.0 profile_id 10
config access_profile profile_id 10 add access_id 1 ip destination_ip 192.168.0.0 port 2 deny
config access_profile profile_id 10 add access_id 2 ip destination_ip 172.16.1.0 port 3 deny

ЗЫ: фильтруется только входящий трафик. Написал, представляя что на 2-м порту VLAN2, на 3-м порту VLAN3

Спасибо за правило. Есть ещё вопрос:

В качестве шлюза необходимо указывать соответствующий интерфейс коммутатора в настройках у клиента. Но если я заменю шлюз на необходимый интерфейс коммутатора, то каким образом мне указать шлюз интернет сервера???

Когда указываете шлюз, то получаете в таблице маршрутизации следующее:

subnet 0.0.0.0 netmask 0.0.0.0 gate 172.16.1.1

Если вам нужно чтобы была и маршрутизация, и интернет есть 2 варианта:

1) на свиче укажите default gateway - ваш интернетовский шлюз, тогда трафик в инет будет уходить через него, хотя точно не знаю как это будет работать на практике.
2) на клиентах поставить статическую маршрутизацию на другие ваши подсети, но шлюз указать реальный. Тогда интернетовский трафик будет идти напрямую в шлюз, а в подсети через свич. Считаю этот вариант наиболее подходящим.

1. На практике будет работать кошерно.
2. ИМХО для конечного клиента лишние пробоемы с настройками...