1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Вт июл 22, 2025 20:24

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 2 из 4
  [ Сообщений: 47 ]  На страницу Пред.  1, 2, 3, 4  След.
  Предыдущая тема | Следующая тема 
Автор Сообщение
terrible
 Заголовок сообщения:
СообщениеДобавлено: Пт ноя 27, 2009 09:39 
Не в сети

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default
dentlight писал(а):
Получается, что данными фильтрами вланы не видят друг-друга.
А внутри влана все видят друг-друга! ?

именно так
Вернуться наверх
 Профиль  
 
dentlight
 Заголовок сообщения:
СообщениеДобавлено: Вт дек 01, 2009 13:18 
Не в сети

Зарегистрирован: Ср ноя 25, 2009 11:05
Сообщений: 44
Добрейшие люди! нужна помощь!
Нужно чтобы все вланы выходили в инет через 900 vlan с ip 192.168.200.2 на 3028 т.е нужно разрешить всем вланам видеть 900 влан ???
СИТУАЦИЯ ТАКАЯ
3028 шлюзуется к 3828, а 3828 к cisco 900 вланом, после подключения правил, которые описывались ранее, вланы перестали видеть друг друга(то, что мне нужно), но также и перестал работать интернеТ! =)
Как теперь решить данный вопрос? есть идея! но правильная ли она!?
Цитата:
create access_profile ip source 255.255.255.252 dest 255.255.255.252 vlan prof 2
conf access_prof prof 2 add access_id auto ip source 192.168.200.2 destination 192.168.200.2 vlan 900 port 4 permit

port 4 шлюзовой для циски! Правильно я сделал правило!!?

Низкий поклон вам за помощь!!
P.S Помогите с умными книжками по ACL для dlink!А то совсем все плохо!=( может кто ссылку даст! Буду очень признателен!


Последний раз редактировалось dentlight Вт дек 01, 2009 15:55, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
terrible
 Заголовок сообщения:
СообщениеДобавлено: Вт дек 01, 2009 15:16 
Не в сети

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default
Эх, повторение - мать учения:
http://www.dlink.ru/ru/faq/62/204.html
Вернуться наверх
 Профиль  
 
dentlight
 Заголовок сообщения:
СообщениеДобавлено: Вт дек 01, 2009 15:29 
Не в сети

Зарегистрирован: Ср ноя 25, 2009 11:05
Сообщений: 44
Дело в том что у меня один 3828! Данная схема не подходит!
Вернуться наверх
 Профиль  
 
dentlight
 Заголовок сообщения:
СообщениеДобавлено: Вт дек 01, 2009 15:49 
Не в сети

Зарегистрирован: Ср ноя 25, 2009 11:05
Сообщений: 44
Изображение
Часть 2 работает! все вланы не видят друг-друга! а часть 1 не работает!нет инета! Если Правила ACL
Цитата:
create access_profile ip source 255.255.255.0 dest 255.255.255.0 vlan prof 1

conf access_prof prof 1 add access_id auto ip source 192.168.50.0 destination 192.168.50.0 vlan 500 port 1-3 permit
conf access_prof prof 1 add access_id auto ip source 192.168.60.0 dest 192.168.60.0 vlan 600 port 1-3 permit
conf access_prof prof 1 add access_id auto ip source 192.168.70.0 dest 192.168.70.0 vlan 700 port 1 permit
conf access_prof prof 1 add access_id auto ip source 192.168.71.0 dest 192.168.71.0 vlan 701 port 2 permit
conf access_prof prof 1 add access_id auto ip source 192.168.80.0 dest 192.168.80.0 vlan 800 port 3 permit



create access_profile ip source 0.0.0.0 dest 0.0.0.0 vlan prof 10

conf access_prof prof 10 add access_id auto ip source 0.0.0.0 dest 0.0.0.0 vlan 500 port 1-3 deny
conf access_prof prof 10 add access_id auto ip source 0.0.0.0 dest 0.0.0.0 vlan 600 port 1-3 deny
conf access_prof prof 10 add access_id auto ip source 0.0.0.0 dest 0.0.0.0 vlan 700 port 1 deny
conf access_prof prof 10 add access_id auto ip source 0.0.0.0 dest 0.0.0.0 vlan 701 port 2 deny
conf access_prof prof 10 add access_id auto ip source 0.0.0.0 dest 0.0.0.0 vlan 800 port 3 deny

убрать из части 2, то инет работает!


Последний раз редактировалось dentlight Вт дек 01, 2009 16:54, всего редактировалось 3 раз(а).

Вернуться наверх
 Профиль  
 
dentlight
 Заголовок сообщения:
СообщениеДобавлено: Вт дек 01, 2009 16:49 
Не в сети

Зарегистрирован: Ср ноя 25, 2009 11:05
Сообщений: 44
Цитата:

create access_profile ip source 192.168.160.1 dest 192.168.160.3 vlan prof 2

conf access_prof prof 2 add access_id auto ip source 192.168.160.2 destination 192.168.160.2 vlan 900 port 1-4 permit


Исправил!
900 влан диапазона 192.168.160.1-192.168.160.3 буден виден на 4 портах, следовательно......должен работать интернет!? Не работает!=(
Вернуться наверх
 Профиль  
 
terrible
 Заголовок сообщения:
СообщениеДобавлено: Вт дек 01, 2009 17:02 
Не в сети

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default
Цитата:
#500-влан subnet = 50, port 1-3 tag
#600-влан subnet = 60, port 1-3 tag
#700-влан subnet = 70, port 1 tag
#701-влан subnet = 71, port 2 tag
#800-влан subnet = 80, port 3 tag

create access_profile ip dest 255.255.255.0 vlan prof 1

conf access_prof prof 1 add access_id auto ip dest 192.168.60.0 vlan 500 port 1-3 deny
conf access_prof prof 1 add access_id auto ip dest 192.168.70.0 vlan 500 port 1-3 deny
conf access_prof prof 1 add access_id auto ip dest 192.168.71.0 vlan 500 port 1-3 deny
conf access_prof prof 1 add access_id auto ip dest 192.168.80.0 vlan 500 port 1-3 deny

conf access_prof prof 1 add access_id auto ip dest 192.168.50.0 vlan 600 port 1-3 deny
conf access_prof prof 1 add access_id auto ip dest 192.168.70.0 vlan 600 port 1-3 deny
conf access_prof prof 1 add access_id auto ip dest 192.168.71.0 vlan 600 port 1-3 deny
conf access_prof prof 1 add access_id auto ip dest 192.168.80.0 vlan 600 port 1-3 deny

conf access_prof prof 1 add access_id auto ip dest 192.168.50.0 vlan 600 port 1 deny
conf access_prof prof 1 add access_id auto ip dest 192.168.60.0 vlan 600 port 1 deny
conf access_prof prof 1 add access_id auto ip dest 192.168.71.0 vlan 600 port 1 deny
conf access_prof prof 1 add access_id auto ip dest 192.168.80.0 vlan 600 port 1 deny

conf access_prof prof 1 add access_id auto ip dest 192.168.50.0 vlan 701 port 2 deny
conf access_prof prof 1 add access_id auto ip dest 192.168.60.0 vlan 701 port 2 deny
conf access_prof prof 1 add access_id auto ip dest 192.168.70.0 vlan 701 port 2 deny
conf access_prof prof 1 add access_id auto ip dest 192.168.80.0 vlan 701 port 2 deny

conf access_prof prof 1 add access_id auto ip dest 192.168.50.0 vlan 800 port 3 deny
conf access_prof prof 1 add access_id auto ip dest 192.168.60.0 vlan 800 port 3 deny
conf access_prof prof 1 add access_id auto ip dest 192.168.70.0 vlan 800 port 3 deny
conf access_prof prof 1 add access_id auto ip dest 192.168.71.0 vlan 800 port 3 deny


А теперь прошу написать результат, который будет получен при использовании этих ACL.

Схема, которую я указал в FAQ может быть вам и не подходит, однако смысл схемы вы должны были уловить.
Вернуться наверх
 Профиль  
 
dentlight
 Заголовок сообщения:
СообщениеДобавлено: Вт дек 01, 2009 23:09 
Не в сети

Зарегистрирован: Ср ноя 25, 2009 11:05
Сообщений: 44
Завтра Буду пробывать!
Небольшая опечатка!
Цитата:
#500-влан subnet = 50, port 1-3 tag
#600-влан subnet = 60, port 1-3 tag
#700-влан subnet = 70, port 1 tag
#701-влан subnet = 71, port 2 tag
#800-влан subnet = 80, port 3 tag

create access_profile ip dest 255.255.255.0 vlan prof 1

conf access_prof prof 1 add access_id auto ip dest 192.168.60.0 vlan 500 port 1-3 deny
conf access_prof prof 1 add access_id auto ip dest 192.168.70.0 vlan 500 port 1-3 deny
conf access_prof prof 1 add access_id auto ip dest 192.168.71.0 vlan 500 port 1-3 deny
conf access_prof prof 1 add access_id auto ip dest 192.168.80.0 vlan 500 port 1-3 deny

conf access_prof prof 1 add access_id auto ip dest 192.168.50.0 vlan 600 port 1-3 deny
conf access_prof prof 1 add access_id auto ip dest 192.168.70.0 vlan 600 port 1-3 deny
conf access_prof prof 1 add access_id auto ip dest 192.168.71.0 vlan 600 port 1-3 deny
conf access_prof prof 1 add access_id auto ip dest 192.168.80.0 vlan 600 port 1-3 deny

conf access_prof prof 1 add access_id auto ip dest 192.168.50.0 vlan700 port 1 deny
conf access_prof prof 1 add access_id auto ip dest 192.168.60.0 vlan 700 port 1 deny
conf access_prof prof 1 add access_id auto ip dest 192.168.71.0 vlan 700 port 1 deny
conf access_prof prof 1 add access_id auto ip dest 192.168.80.0 vlan700 port 1 deny

conf access_prof prof 1 add access_id auto ip dest 192.168.50.0 vlan 701 port 2 deny
conf access_prof prof 1 add access_id auto ip dest 192.168.60.0 vlan 701 port 2 deny
conf access_prof prof 1 add access_id auto ip dest 192.168.70.0 vlan 701 port 2 deny
conf access_prof prof 1 add access_id auto ip dest 192.168.80.0 vlan 701 port 2 deny

conf access_prof prof 1 add access_id auto ip dest 192.168.50.0 vlan 800 port 3 deny
conf access_prof prof 1 add access_id auto ip dest 192.168.60.0 vlan 800 port 3 deny
conf access_prof prof 1 add access_id auto ip dest 192.168.70.0 vlan 800 port 3 deny
conf access_prof prof 1 add access_id auto ip dest 192.168.71.0 vlan 800 port 3 deny

Хотелось бы понять значение данных правил! На сколько я понял:
Создаем профиль с ip адресом 255.255.255.0(не понятно!Это означает все адреса?)
Далее создаем правила для каждого влана!В которых запрещаем ip других вланов видеть определенный влан! ТАК!?
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Ср дек 02, 2009 10:28 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Это означает не все адреса а подсети класса C которые будут указаны в следующих правилах.
Вернуться наверх
 Профиль  
 
dentlight
 Заголовок сообщения:
СообщениеДобавлено: Ср дек 02, 2009 11:23 
Не в сети

Зарегистрирован: Ср ноя 25, 2009 11:05
Сообщений: 44
ВОТ так работает!=)
Цитата:
#500-влан subnet = 50, port 1-3 tag
#600-влан subnet = 60, port 1-3 tag
#700-влан subnet = 70, port 1 tag
#701-влан subnet = 71, port 2 tag
#800-влан subnet = 80, port 3 tag

create access_profile ip dest 255.255.255.0 vlan prof 1

conf access_prof prof 1 add access_id auto ip dest 192.168.60.0 vlan 500 port 1-3 deny
conf access_prof prof 1 add access_id auto ip dest 192.168.70.0 vlan 500 port 1-3 deny
conf access_prof prof 1 add access_id auto ip dest 192.168.71.0 vlan 500 port 1-3 deny
conf access_prof prof 1 add access_id auto ip dest 192.168.80.0 vlan 500 port 1-3 deny

conf access_prof prof 1 add access_id auto ip dest 192.168.50.0 vlan 600 port 1-3 deny
conf access_prof prof 1 add access_id auto ip dest 192.168.70.0 vlan 600 port 1-3 deny
conf access_prof prof 1 add access_id auto ip dest 192.168.71.0 vlan 600 port 1-3 deny
conf access_prof prof 1 add access_id auto ip dest 192.168.80.0 vlan 600 port 1-3 deny

conf access_prof prof 1 add access_id auto ip dest 192.168.50.0 vlan700 port 1-3 deny
conf access_prof prof 1 add access_id auto ip dest 192.168.60.0 vlan 700 port 1-3 deny
conf access_prof prof 1 add access_id auto ip dest 192.168.71.0 vlan 700 port 1-3 deny
conf access_prof prof 1 add access_id auto ip dest 192.168.80.0 vlan700 port 1-3 deny

conf access_prof prof 1 add access_id auto ip dest 192.168.50.0 vlan 701 port 1-3 deny
conf access_prof prof 1 add access_id auto ip dest 192.168.60.0 vlan 701 port 1-3 deny
conf access_prof prof 1 add access_id auto ip dest 192.168.70.0 vlan 701 port 1-3 deny
conf access_prof prof 1 add access_id auto ip dest 192.168.80.0 vlan 701 port 1-3 deny

conf access_prof prof 1 add access_id auto ip dest 192.168.50.0 vlan 800 port 1-3 deny
conf access_prof prof 1 add access_id auto ip dest 192.168.60.0 vlan 800 port 1-3 deny
conf access_prof prof 1 add access_id auto ip dest 192.168.70.0 vlan 800 port 1-3 deny
conf access_prof prof 1 add access_id auto ip dest 192.168.71.0 vlan 800 port 1-3 deny

Данную схему я взял в качестве примера!а В реальности у меня гораздо больше вланов и следовательно iP!
Выдает ошибку
Цитата:
Table Full!
Fail!

=(
Почитал в мануале что 3828 поддерживает 800 правил! а на самом деле получилось 430!! В чем проблема??
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Ср дек 02, 2009 11:27 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Рад слышать! Есть ограничение на каждые 8 100Мбит/с портов может назначаться 200 ACL, а на каждый гигабитный по 100.
Вернуться наверх
 Профиль  
 
dentlight
 Заголовок сообщения:
СообщениеДобавлено: Ср дек 02, 2009 12:57 
Не в сети

Зарегистрирован: Ср ноя 25, 2009 11:05
Сообщений: 44
В общем разобрался! :) Вроде работает! Тестирую! Отпишусь позже!

ОГРОМНОЕ ВСЕМ СПАСИБО ЗА ПОМОЩЬ! ОСОБЕННО
Цитата:
terrible

Цитата:
create access_profile ip source 255.255.255.0 dest 255.255.255.0 vlan prof 1

conf access_prof prof 1 add access_id auto ip source 192.168.200.0 destination 192.168.200.0 vlan 900 port 1-4 permit

conf access_prof prof 1 add access_id auto ip source 192.168.50.0 destination 192.168.50.0 vlan 500 port 1-3 permit
conf access_prof prof 1 add access_id auto ip source 192.168.60.0 dest 192.168.60.0 vlan 600 port 1-3 permit
conf access_prof prof 1 add access_id auto ip source 192.168.70.0 dest 192.168.70.0 vlan 700 port 1 permit
conf access_prof prof 1 add access_id auto ip source 192.168.71.0 dest 192.168.71.0 vlan 701 port 2 permit
conf access_prof prof 1 add access_id auto ip source 192.168.80.0 dest 192.168.80.0 vlan 800 port 3 permit



create access_profile ip source 0.0.0.0 dest 0.0.0.0 vlan prof 10

conf access_prof prof 10 add access_id auto ip source 0.0.0.0 dest 0.0.0.0 vlan 500 port 1-3 deny
conf access_prof prof 10 add access_id auto ip source 0.0.0.0 dest 0.0.0.0 vlan 600 port 1-3 deny
conf access_prof prof 10 add access_id auto ip source 0.0.0.0 dest 0.0.0.0 vlan 700 port 1 deny
conf access_prof prof 10 add access_id auto ip source 0.0.0.0 dest 0.0.0.0 vlan 701 port 2 deny
conf access_prof prof 10 add access_id auto ip source 0.0.0.0 dest 0.0.0.0 vlan 800 port 3 deny

Для инета прописал 900 влан на всех портах!
Теперь все вланы не видят друг-друга, у всех работает инет! То что и требовалось!Единственное! Пока не могу понять почему пингуется шлюзы всех интерфейсах!!?


Последний раз редактировалось dentlight Ср дек 02, 2009 17:30, всего редактировалось 2 раз(а).

Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Ср дек 02, 2009 12:58 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Рад слышать! То что пингуются шлюзы это нормально.
Вернуться наверх
 Профиль  
 
dentlight
 Заголовок сообщения:
СообщениеДобавлено: Ср дек 02, 2009 17:23 
Не в сети

Зарегистрирован: Ср ноя 25, 2009 11:05
Сообщений: 44
В общем работает на половину!!!=(((((((

Значит проблема в том что когда я применяю правила:
Цитата:
create access_profile ip source 255.255.255.0 dest 255.255.255.0 vlan prof 1

conf access_prof prof 1 add access_id auto ip source 192.168.200.0 destination 192.168.200.0 vlan 900 port 1-4 permit

conf access_prof prof 1 add access_id auto ip source 192.168.50.0 destination 192.168.50.0 vlan 500 port 1-3 permit
conf access_prof prof 1 add access_id auto ip source 192.168.60.0 dest 192.168.60.0 vlan 600 port 1-3 permit
conf access_prof prof 1 add access_id auto ip source 192.168.70.0 dest 192.168.70.0 vlan 700 port 1 permit
conf access_prof prof 1 add access_id auto ip source 192.168.71.0 dest 192.168.71.0 vlan 701 port 2 permit
conf access_prof prof 1 add access_id auto ip source 192.168.80.0 dest 192.168.80.0 vlan 800 port 3 permit



create access_profile ip source 0.0.0.0 dest 0.0.0.0 vlan prof 10

conf access_prof prof 10 add access_id auto ip source 0.0.0.0 dest 0.0.0.0 vlan 500 port 1-3 deny
conf access_prof prof 10 add access_id auto ip source 0.0.0.0 dest 0.0.0.0 vlan 600 port 1-3 deny
conf access_prof prof 10 add access_id auto ip source 0.0.0.0 dest 0.0.0.0 vlan 700 port 1 deny
conf access_prof prof 10 add access_id auto ip source 0.0.0.0 dest 0.0.0.0 vlan 701 port 2 deny
conf access_prof prof 10 add access_id auto ip source 0.0.0.0 dest 0.0.0.0 vlan 800 port 3 deny

Вланы не видят друг-друга и инета нет!!! НО ЕСЛИ допустим убрать правило
Цитата:
conf access_prof prof 10 add access_id auto ip source 0.0.0.0 dest 0.0.0.0 vlan 700 port 1 deny

И начать тестировать на 700 влане! ВСЕ ЗАМЕЧАТЕЛЬНО!! ИНЕТ ЕСТЬ! ВЛАНЫ ДРУГ-ДРУГА НЕ ВИДЯТ! ВНУТРИ ВЛАНА ВСЕ ДРУГ-ДРУГА ВИДЯТ!
Как можно сделать чтобы на других ВЛАНАХ было также, как и на 700!?!?!??!
:?:
Вернуться наверх
 Профиль  
 
terrible
 Заголовок сообщения:
СообщениеДобавлено: Чт дек 03, 2009 09:16 
Не в сети

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default
Дык последний профиль вам не нужен!
Первым профилем вы только запрещаете вланам друг-друга видеть, а вторым запрещаете всё всем, в том числе вланам выходить в инет (dest 0.0.0.0).

Оставляйте только первый профиль, именно им вы и рулите ограничением трафика между вланами.

Не забывайте: Трафик, который уже запрещён, нельзя разрешить. Тот, который уже разрешён - нельзя запретить. На этом принципе и выстраивайте ваш порядок ACL.
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 2 из 4
  [ Сообщений: 47 ]  На страницу Пред.  1, 2, 3, 4  След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 26

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB