1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Вс июл 20, 2025 12:04

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 2 из 2
  [ Сообщений: 29 ]  На страницу Пред.  1, 2
  Предыдущая тема | Следующая тема 
Автор Сообщение
kt4x4
 Заголовок сообщения:
СообщениеДобавлено: Ср июн 24, 2009 14:43 
Не в сети

Зарегистрирован: Пт янв 18, 2008 11:11
Сообщений: 19
Добрый день,

поставил DGS на агрегацию, настроил кучу вланов к ним L3 интерфейсы,
заблокировал пересылку между интерфейсами оставив только доступ к BRAS
Код:
create access_profile ip source_ip_mask 255.248.0.0 destination_ip_mask 255.255.255.0 profile_id 10
config access_profile profile_id 10 add access_id 1 ip source_ip 10.8.0.0 destination_ip 192.168.193.0 port 1-24 permit
config access_profile profile_id 10 add access_id 2 ip source_ip 10.16.0.0 destination_ip 192.168.193.0 port 1-24 permit

create access_profile ip source_ip_mask 0.0.0.0 destination_ip_mask 0.0.0.0 profile_id 12
config access_profile profile_id 12 add access_id 1 ip source_ip 0.0.0.0 destination_ip 0.0.0.0 port 1-24 deny

все хорошо все работает но выскочило одно НО,
DGS согласно этих правил лезет в транзитные вланы которые идут дальше, ну и соответственно по ним ничего не работает. Подскажите как его отучить от этого, может я неправильно акцесс-листы написал, или это фича DGS?
Вернуться наверх
 Профиль  
 
svsh1990
 Заголовок сообщения:
СообщениеДобавлено: Ср июн 24, 2009 19:07 
Не в сети

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль
ACL не привязаны к ip-интерфейсам свитча. ACL отрабатывают на втором уровне. Соответственно и применяются они ко всему трафику, проходящему через свитч.

_________________
LiveComm
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Ср июн 24, 2009 21:58 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Как вариант можно добавить в правила параметр VLAN.
Вернуться наверх
 Профиль  
 
kt4x4
 Заголовок сообщения:
СообщениеДобавлено: Чт июн 25, 2009 06:15 
Не в сети

Зарегистрирован: Пт янв 18, 2008 11:11
Сообщений: 19
svsh1990 писал(а):
ACL не привязаны к ip-интерфейсам свитча. ACL отрабатывают на втором уровне. Соответственно и применяются они ко всему трафику, проходящему через свитч.

я это уже понял, нехорошо конечно но что поделать.
Вернуться наверх
 Профиль  
 
kt4x4
 Заголовок сообщения:
СообщениеДобавлено: Чт июн 25, 2009 06:17 
Не в сети

Зарегистрирован: Пт янв 18, 2008 11:11
Сообщений: 19
Demin Ivan писал(а):
Как вариант можно добавить в правила параметр VLAN.

такой вариант не пойдет, вланов много, они могут менятся и т.п.
Будем искать другие варианты, на крайний случай DGS будет использоватся как L2 агрегатор.
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Чт июн 25, 2009 09:43 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Как вариант можно исключить магистральные порты из списка.
Вернуться наверх
 Профиль  
 
kt4x4
 Заголовок сообщения:
СообщениеДобавлено: Чт июн 25, 2009 11:08 
Не в сети

Зарегистрирован: Пт янв 18, 2008 11:11
Сообщений: 19
а что это даст? транзитный влан не только в магистральном порту живет.
Сейчас соберу схему и проверю для успокоения совести.
Вернуться наверх
 Профиль  
 
kt4x4
 Заголовок сообщения:
СообщениеДобавлено: Пт июн 26, 2009 07:42 
Не в сети

Зарегистрирован: Пт янв 18, 2008 11:11
Сообщений: 19
вариант с исключением магистральных портов не работает.
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Пт июн 26, 2009 21:24 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Вообщем если Вы не можете ввести параметр VLAN по каким-то причинам то с учётом ситуации по другому так фильтровать у вас не получится. Причём это не сможет сделать ни один свитч.
Вернуться наверх
 Профиль  
 
T_IgorWW
 Заголовок сообщения:
СообщениеДобавлено: Вс июл 05, 2009 19:57 
Не в сети

Зарегистрирован: Ср мар 16, 2005 20:17
Сообщений: 207
Откуда: Трехгорный
Добрый день!
Как обходить это ограничение в акэлах -
Код:
DGS-3612G:5#config access_profile profile_id 7 add access_id auto_assign  ip des
tination_ip x.x.x.34 port 12 permit rx_rate 6
Command: config access_profile profile_id 7 add access_id auto_assign ip destination_ip x.x.x.34 port 12 permit rx_rate 6

 Exceed max meter limitation

Fail!

Больше 64 правил не дает записать
Код:
Boot PROM Version : Build 1.10-B06
Firmware Version  : Build 2.40.B77
Hardware Version  : 1A1G
Вернуться наверх
 Профиль  
 
Bigarov Ruslan
 Заголовок сообщения:
СообщениеДобавлено: Вт июл 07, 2009 12:36 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
Для одного профиля можно создать только 64 правила с rx_rate. Решается просто, нужно создать новый профиль с такими же параметрами.

_________________
С уважением,
Бигаров Руслан.
Вернуться наверх
 Профиль  
 
Strangertlt
 Заголовок сообщения:
СообщениеДобавлено: Сб окт 17, 2009 20:19 
Не в сети

Зарегистрирован: Пт окт 24, 2008 15:35
Сообщений: 163
Наконец мы начали закупать 36-ю серию на уровень агрегации, есть необходимость зафильтровать на клиентских адресах/виланах протокол ospf. Беглое гугление выдаёт только порт ospf- 89 но в ACL есть замечательная строчка Protocol ID, не подскажите какой ID нужно туда вписать чтобы зафильтровать ospf? Точнее какую маску в этом поле нужно ввести при создании профайла и какой ID ввести в самом листе доступа для этих целей?

Продолжая мысль. Или разрешить ospf только в анонсируемые сети а для всех остальных запретить, так наверное проще и не нужно плодить листы доступа. Но по какому признаку можно зафильтровать ospf? и по порту 89 и по Protocol ID 89 уже попробовал, не вышло.
Вернуться наверх
 Профиль  
 
svsh1990
 Заголовок сообщения:
СообщениеДобавлено: Вс окт 18, 2009 09:18 
Не в сети

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль
Strangertlt писал(а):
Продолжая мысль. Или разрешить ospf только в анонсируемые сети а для всех остальных запретить, так наверное проще и не нужно плодить листы доступа. Но по какому признаку можно зафильтровать ospf? и по порту 89 и по Protocol ID 89 уже попробовал, не вышло.

для начала вам бы следовало почитать документацию про OSPF.
Никаких портов он не использует, т.к. работает ни на TCP, ни на UDP. E него собственный протокол, который в IP-заголовке имеет ID 89.
Во-вторых нахрена его вообще фильтровать? Он активируется только на нужных интерфейсах и больше ничего не надо придумывать.

_________________
LiveComm
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Ср окт 21, 2009 19:48 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Вы OSPF с какой целью хотите фильтровать?
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 2 из 2
  [ Сообщений: 29 ]  На страницу Пред.  1, 2

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot], Putin-Rostov и гости: 111

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB