Всем привет!
Нужна ваша помощь!Очень нужна!
Есть сеть из 3028,3026 во главе с 3828. На 3828 есть множество vlanов с разными ip.

Наличие:
vlan 500 с ip 192.168.50.0 255.255.255.0 есть на всех dlinkах
vlan 600 с ip 192.168.60.0 255.255.255.0 есть на всех dlinkах
vlan 700-800 с разными ip на разных dlinkах

Задача:
все клиенты 500 vlana должны видеть друг друга, но не видеть других
все клиенты 600 vlana должны видеть друг друга,а также видеть 500, но 500 не должен видеть 600
все клиенты 700-800 vlana , нужно сделать так, так чтобы они не видели других вланов !только сидели в своем влане и видели только себя!

ОГРОМНОЕ СПАСИБО!!!!!

данным кодом, я запрещаю трафик между 500 и 600 вланом!?!?
Или я не прав!!?!?!?!

Нет. Этими фильтрами Вы запрещаете весь трафик, идущий в подсети 192.168.50.0 и 192.168.60.0

А не могли бы вы подсказать, как запрещать трафик между вланами!
Или хотя бы направить в нужном направлении! Спасибо!

создавать профили на основе src + dst ip. и запрещать что откуда и куда.

_________________
LiveComm

а можно объяснить, как для прапорщиков!! =)

а что непонятного я сказал? учите матчасть есть слова src ip и dst ip у вас вызывают вопросы. без этих знаний работать нельзя.

_________________
LiveComm

#500-влан subnet = 50, port 1-2 tag
#600-влан subnet = 60, port 3-4 tag
#700-влан subnet = 70, port 6-7 tag
#800-влан subnet = 80, port 8-14 tag
#default vlan ports 5-8 - untag
#предполагается, что в 3828 приходят тегерированные вланы от L2 свичей, к нему подключенных. Дефолтный влан используется только для управления свичами.

create access_profile ip source 255.255.255.0 dest 255.255.255.0 vlan prof 1
#разрешаем всем вланам видеть себя
conf access_prof prof 1 add access_id auto ip source 192.168.50.0 dest 192.168.50.0 vlan 500 port 1-2 permit
conf access_prof prof 1 add access_id auto ip source 192.168.60.0 dest 192.168.60.0 vlan 600 port 3-4 permit
conf access_prof prof 1 add access_id auto ip source 192.168.70.0 dest 192.168.70.0 vlan 700 port 6-7 permit
conf access_prof prof 1 add access_id auto ip source 192.168.80.0 dest 192.168.80.0 vlan 800 port 8-14 permit

#ЙА ЗОГАДКО#

create access_profile ip source 0.0.0.0 dest 0.0.0.0 vlan prof 10
#Запрещаем всем вланам всё, что не разрешено ранее
conf access_prof prof 10 add access_id auto ip source 0.0.0.0 dest 0.0.0.0 vlan 500 port 1-2 deny
conf access_prof prof 10 add access_id auto ip source 0.0.0.0 dest 0.0.0.0 vlan 600 port 3-4 deny
conf access_prof prof 10 add access_id auto ip source 0.0.0.0 dest 0.0.0.0 vlan 700 port 6-7 deny
conf access_prof prof 10 add access_id auto ip source 0.0.0.0 dest 0.0.0.0 vlan 800 port 8-14 deny

Вместо ЙА ЗОГАДКО вам необходимо создать профиль на основе флагов Syn и Ask в IP пакете, которое бы выполняло 2-е ваше условие. После этого ваша задача решена. Она решаема, 100%.

Получается, что данными фильтрами вланы не видят друг-друга.
А внутри влана все видят друг-друга!
ТАК?

Именно так.

А как сделать, если на 3828 к 3 портам подключены 3028, и на каждом порту находятся:
1 порт- 500,600,700
2 порт- 500,600,701
3 порт- 500,600,702



я ПРАВ!!!?

#701-влан subnet = 71, port 2 tag

ну так получится, что каждый влан друг от друга изолирован.

Получается, что данными фильтрами вланы не видят друг-друга.
А внутри влана все видят друг-друга! ?
А для выполнения 2 условия нужно написать правила вида Syn и Ask?
Пошел читать умные книги!!!