D-Link • Просмотр темы - Настройка ACL 3828

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Настройка ACL 3828

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 3 из 4

[ Сообщений: 47 ]

На страницу Пред. 1, 2, 3, 4 След.

Предыдущая тема | Следующая тема

Автор

Сообщение

dentlight

Заголовок сообщения:

Добавлено: Чт дек 03, 2009 10:59

Зарегистрирован: Ср ноя 25, 2009 11:05
Сообщений: 44

Не пойму,как можно запретить правилом которое разрешает

Цитата:

Дык последний профиль вам не нужен!
Первым профилем вы только запрещаете вланам друг-друга видеть, а вторым запрещаете всё всем, в том числе вланам выходить в инет (dest 0.0.0.0).

Оставляйте только первый профиль, именно им вы и рулите ограничением трафика между вланами.

Цитата:

create access_profile ip source 255.255.255.0 dest 255.255.255.0 vlan prof 1

conf access_prof prof 1 add access_id auto ip source 192.168.200.0 destination 192.168.200.0 vlan 900 port 1-4 permit

conf access_prof prof 1 add access_id auto ip source 192.168.50.0 destination 192.168.50.0 vlan 500 port 1-3 permit
conf access_prof prof 1 add access_id auto ip source 192.168.60.0 dest 192.168.60.0 vlan 600 port 1-3 permit
conf access_prof prof 1 add access_id auto ip source 192.168.70.0 dest 192.168.70.0 vlan 700 port 1 permit
conf access_prof prof 1 add access_id auto ip source 192.168.71.0 dest 192.168.71.0 vlan 701 port 2 permit
conf access_prof prof 1 add access_id auto ip source 192.168.80.0 dest 192.168.80.0 vlan 800 port 3 permit

Попробовал,как сказал

Цитата:

terrible

Не работает!
Какие еще можно правила придумать
:?:

Вернуться наверх

Alexandr Zaitsev

Заголовок сообщения:

Добавлено: Чт дек 03, 2009 15:41

Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow

Мне кажется вот как-то так должно работать:

Код:

#Разрешаем трафик внутри виланов
create access_profile ip source 255.255.255.0 dest 255.255.255.0 vlan prof 1
conf access_prof prof 1 add access_id auto ip source 192.168.200.0 destination 192.168.200.0 vlan 900 port 1-4 permit
conf access_prof prof 1 add access_id auto ip source 192.168.50.0 destination 192.168.50.0 vlan 500 port 1-3 permit
conf access_prof prof 1 add access_id auto ip source 192.168.60.0 dest 192.168.60.0 vlan 600 port 1-3 permit
conf access_prof prof 1 add access_id auto ip source 192.168.70.0 dest 192.168.70.0 vlan 700 port 1 permit
conf access_prof prof 1 add access_id auto ip source 192.168.71.0 dest 192.168.71.0 vlan 701 port 2 permit
conf access_prof prof 1 add access_id auto ip source 192.168.80.0 dest 192.168.80.0 vlan 800 port 3 permit

#Запрещаем трафик между виланами
create access_profile ip source 255.255.0.0 dest 255.255.0.0 prof 9
conf access_prof prof 9 add access_id auto ip source 192.168.0.0 dest 192.168.0.0 port 1-3 deny

Вернуться наверх

terrible

Заголовок сообщения:

Добавлено: Чт дек 03, 2009 17:01

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default

dentlight, напиши в асю

Вернуться наверх

dentlight

Заголовок сообщения:

Добавлено: Пт дек 04, 2009 10:42

Зарегистрирован: Ср ноя 25, 2009 11:05
Сообщений: 44

А ответ был так близок!

Цитата:

#Запрещаем трафик между виланами
create access_profile ip source 255.255.0.0 dest 255.255.0.0 prof 9
conf access_prof prof 9 add access_id auto ip source 192.168.0.0 dest 192.168.0.0 port 1-3 deny

Большое спасибо Alexandr Zaitsev
Вот так работает!

А допустим у меня есть в сети ip диапазона 172.16.0.0-172.16.255.255 с маской 255.255.0.0
То добавляем правила к основным

Цитата:

#Разрешаем трафик внутри виланов
conf access_prof prof 1 add access_id auto ip source 172.16.10.0 destination 172.16.10.0 vlan 702 port 5 permit

#Запрещаем трафик между виланами

conf access_prof prof 9 add access_id auto ip source 172.16.0.0 dest 172.16.0.0 port 1-3,5 deny

По логике так!!??! а на практике не получается!!!!! В чем моя ошибка!!?

Последний раз редактировалось dentlight Пт дек 04, 2009 15:14, всего редактировалось 2 раз(а).

Вернуться наверх

terrible

Заголовок сообщения:

Добавлено: Пт дек 04, 2009 11:53

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default

dentlight писал(а):

По логике так!!??! а на практике не получается!!!!! В чем моя ошибка!!?

Что именно на получается?
Последнее правило не распространяется на тегерированный трафик, потому-что вы его в нём не указали.

Вернуться наверх

dentlight

Заголовок сообщения:

Добавлено: Пн дек 07, 2009 11:45

Зарегистрирован: Ср ноя 25, 2009 11:05
Сообщений: 44

Не получается, то что когда я принимаю правила

Цитата:

#Разрешаем трафик внутри виланов
create access_profile ip source 255.255.255.0 dest 255.255.255.0 vlan prof 1
conf access_prof prof 1 add access_id auto ip source 192.168.200.0 destination 192.168.200.0 vlan 900 port 1-4 permit
conf access_prof prof 1 add access_id auto ip source 192.168.50.0 destination 192.168.50.0 vlan 500 port 1-3 permit
conf access_prof prof 1 add access_id auto ip source 192.168.60.0 dest 192.168.60.0 vlan 600 port 1-3 permit
conf access_prof prof 1 add access_id auto ip source 192.168.70.0 dest 192.168.70.0 vlan 700 port 1 permit
conf access_prof prof 1 add access_id auto ip source 192.168.71.0 dest 192.168.71.0 vlan 701 port 2 permit
conf access_prof prof 1 add access_id auto ip source 192.168.80.0 dest 192.168.80.0 vlan 800 port 3 permit
conf access_prof prof 1 add access_id auto ip source 172.16.10.0 destination 172.16.10.0 vlan 702 port 5 permit

#Запрещаем трафик между виланами
create access_profile ip source 255.255.0.0 dest 255.255.0.0 prof 9
conf access_prof prof 9 add access_id auto ip source 192.168.0.0 dest 192.168.0.0 port 1-3 deny
conf access_prof prof 9 add access_id auto ip source 172.16.0.0 dest 172.16.0.0 port 1-3,5 deny

Сеть 172.16.10.0 видит всех и все ее!
Вроде запретил!!! а Не работает!
А по поводу

Цитата:

Последнее правило не распространяется на тегерированный трафик, потому-что вы его в нём не указали.

Я что-то не понял!Я вроде все порты указал!

Вернуться наверх

Alexandr Zaitsev

Заголовок сообщения:

Добавлено: Пн дек 07, 2009 12:09

Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow

Код:

#Запрещаем трафик между виланами
create access_profile ip source 255.255.0.0 dest 255.255.0.0 prof 9
conf access_prof prof 9 add access_id auto ip source 192.168.0.0 dest 192.168.0.0 port 1-3 deny
conf access_prof prof 9 add access_id auto ip source 172.16.0.0 dest 192.168.0.0 port 1-3 deny
conf access_prof prof 9 add access_id auto ip source 192.168.0.0 dest 172.16.0.0 port 1-3 deny
conf access_prof prof 9 add access_id auto ip source 172.16.0.0 dest 172.16.0.0 port 1-3,5 deny

Вернуться наверх

dentlight

Заголовок сообщения:

Добавлено: Пн дек 07, 2009 12:51

Зарегистрирован: Ср ноя 25, 2009 11:05
Сообщений: 44

Спасибо!!! Alexandr Zaitsev ВСЕ работаеТ!:D
Можете подсказать где можно почитать про ACL?Не могу найти литературу!

Вернуться наверх

finston

Заголовок сообщения:

Добавлено: Пн янв 11, 2010 15:08

Зарегистрирован: Вт сен 29, 2009 11:39
Сообщений: 13

А не подскажете команду которой можно посмотреть каунтеры пакетов попавших в ACL. Железяка DES-3828. Прошивка 3.00.B57

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Пн янв 11, 2010 15:12

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Сколько пакетов попало под ACL?

Вернуться наверх

finston

Заголовок сообщения:

Добавлено: Пн янв 11, 2010 15:19

Зарегистрирован: Вт сен 29, 2009 11:39
Сообщений: 13

Ну да.

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Пн янв 11, 2010 15:25

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Таких счётчиков к сожалению в аппаратной части нет.

Вернуться наверх

dentlight

Заголовок сообщения:

Добавлено: Ср окт 13, 2010 15:05

Зарегистрирован: Ср ноя 25, 2009 11:05
Сообщений: 44

Коллеги нужна ваша помощь :oops:

Вот мой ACL

Код:

# ACL

create access_profile ip vlan source_ip_mask 255.255.255.0 destination_ip_mask 255.255.255.0 profile_id 1 
config access_profile profile_id 1 add access_id 1 ip vlan 702 source_ip 192.168.152.0 destination_ip 192.168.152.0 port 1 permit 
config access_profile profile_id 1 add access_id 2 ip vlan 702 source_ip 192.168.152.0 destination_ip 192.168.152.0 port 2 permit 
config access_profile profile_id 1 add access_id 3 ip vlan 702 source_ip 192.168.152.0 destination_ip 192.168.152.0 port 25 permit 
config access_profile profile_id 1 add access_id 4 ip vlan 702 source_ip 192.168.152.0 destination_ip 192.168.152.0 port 26 permit 
config access_profile profile_id 1 add access_id 5 ip vlan 702 source_ip 192.168.152.0 destination_ip 192.168.152.0 port 27 permit 
config access_profile profile_id 1 add access_id 6 ip vlan 703 source_ip 192.168.153.0 destination_ip 192.168.153.0 port 1 permit 
config access_profile profile_id 1 add access_id 7 ip vlan 704 source_ip 192.168.43.0 destination_ip 192.168.43.0 port 2 permit 
config access_profile profile_id 1 add access_id 8 ip vlan 705 source_ip 192.168.163.0 destination_ip 192.168.163.0 port 26 permit 
config access_profile profile_id 1 add access_id 9 ip vlan 706 source_ip 192.168.54.0 destination_ip 192.168.54.0 port 26 permit 
config access_profile profile_id 1 add access_id 10 ip vlan 707 source_ip 172.16.4.0 destination_ip 172.16.4.0 port 26 permit 
config access_profile profile_id 1 add access_id 11 ip vlan 708 source_ip 192.168.64.0 destination_ip 192.168.64.0 port 26 permit 
config access_profile profile_id 1 add access_id 12 ip vlan 710 source_ip 172.16.136.0 destination_ip 172.16.136.0 port 26 permit 
config access_profile profile_id 1 add access_id 13 ip vlan 712 source_ip 192.168.60.0 destination_ip 192.168.60.0 port 27 permit 
config access_profile profile_id 1 add access_id 14 ip vlan 717 source_ip 192.168.53.0 destination_ip 192.168.53.0 port 26 permit 
config access_profile profile_id 1 add access_id 15 ip vlan 718 source_ip 192.168.61.0 destination_ip 192.168.61.0 port 27 permit 
config access_profile profile_id 1 add access_id 16 ip vlan 719 source_ip 192.168.205.0 destination_ip 192.168.205.0 port 27 permit 
config access_profile profile_id 1 add access_id 17 ip vlan 711 source_ip 192.168.206.0 destination_ip 192.168.206.0 port 27 permit 
config access_profile profile_id 1 add access_id 18 ip vlan 720 source_ip 192.168.208.0 destination_ip 192.168.208.0 port 27 permit 
config access_profile profile_id 1 add access_id 19 ip vlan 737 source_ip 172.17.37.0 destination_ip 172.17.37.0 port 27 permit 

create access_profile ip source_ip_mask 255.255.0.0 destination_ip_mask 255.255.0.0 profile_id 10 
config access_profile profile_id 10 add access_id 1 ip source_ip 192.168.0.0 destination_ip 192.168.0.0 port 1 deny 
config access_profile profile_id 10 add access_id 2 ip source_ip 192.168.0.0 destination_ip 192.168.0.0 port 2 deny 
config access_profile profile_id 10 add access_id 3 ip source_ip 192.168.0.0 destination_ip 192.168.0.0 port 25 deny 
config access_profile profile_id 10 add access_id 4 ip source_ip 192.168.0.0 destination_ip 192.168.0.0 port 26 deny 
config access_profile profile_id 10 add access_id 5 ip source_ip 192.168.0.0 destination_ip 192.168.0.0 port 27 deny 
config access_profile profile_id 10 add access_id 6 ip source_ip 172.16.0.0 destination_ip 192.168.0.0 port 1 deny 
config access_profile profile_id 10 add access_id 7 ip source_ip 172.16.0.0 destination_ip 192.168.0.0 port 2 deny 
config access_profile profile_id 10 add access_id 8 ip source_ip 172.16.0.0 destination_ip 192.168.0.0 port 25 deny 
config access_profile profile_id 10 add access_id 9 ip source_ip 172.16.0.0 destination_ip 192.168.0.0 port 26 deny 
config access_profile profile_id 10 add access_id 10 ip source_ip 172.16.0.0 destination_ip 192.168.0.0 port 27 deny 
config access_profile profile_id 10 add access_id 11 ip source_ip 192.168.0.0 destination_ip 172.16.0.0 port 1 deny 
config access_profile profile_id 10 add access_id 12 ip source_ip 192.168.0.0 destination_ip 172.16.0.0 port 2 deny 
config access_profile profile_id 10 add access_id 13 ip source_ip 192.168.0.0 destination_ip 172.16.0.0 port 25 deny 
config access_profile profile_id 10 add access_id 14 ip source_ip 192.168.0.0 destination_ip 172.16.0.0 port 26 deny 
config access_profile profile_id 10 add access_id 15 ip source_ip 192.168.0.0 destination_ip 172.16.0.0 port 27 deny 
config access_profile profile_id 10 add access_id 16 ip source_ip 172.16.0.0 destination_ip 172.16.0.0 port 1 deny 
config access_profile profile_id 10 add access_id 17 ip source_ip 172.16.0.0 destination_ip 172.16.0.0 port 2 deny 
config access_profile profile_id 10 add access_id 18 ip source_ip 172.16.0.0 destination_ip 172.16.0.0 port 25 deny 
config access_profile profile_id 10 add access_id 19 ip source_ip 172.16.0.0 destination_ip 172.16.0.0 port 26 deny 
config access_profile profile_id 10 add access_id 20 ip source_ip 172.16.0.0 destination_ip 172.16.0.0 port 27 deny 
config access_profile profile_id 10 add access_id 21 ip source_ip 192.168.0.0 destination_ip 172.17.0.0 port 1 deny 
config access_profile profile_id 10 add access_id 22 ip source_ip 192.168.0.0 destination_ip 172.17.0.0 port 2 deny 
config access_profile profile_id 10 add access_id 23 ip source_ip 192.168.0.0 destination_ip 172.17.0.0 port 25 deny 
config access_profile profile_id 10 add access_id 24 ip source_ip 192.168.0.0 destination_ip 172.17.0.0 port 26 deny 
config access_profile profile_id 10 add access_id 25 ip source_ip 192.168.0.0 destination_ip 172.17.0.0 port 27 deny 
config access_profile profile_id 10 add access_id 26 ip source_ip 172.17.0.0 destination_ip 172.17.0.0 port 1 deny 
config access_profile profile_id 10 add access_id 27 ip source_ip 172.17.0.0 destination_ip 172.17.0.0 port 2 deny 
config access_profile profile_id 10 add access_id 28 ip source_ip 172.17.0.0 destination_ip 172.17.0.0 port 25 deny 
config access_profile profile_id 10 add access_id 29 ip source_ip 172.17.0.0 destination_ip 172.17.0.0 port 26 deny 
config access_profile profile_id 10 add access_id 30 ip source_ip 172.17.0.0 destination_ip 172.17.0.0 port 27 deny 
config access_profile profile_id 10 add access_id 31 ip source_ip 172.17.0.0 destination_ip 192.168.0.0 port 1 deny 
config access_profile profile_id 10 add access_id 32 ip source_ip 172.17.0.0 destination_ip 192.168.0.0 port 2 deny 
config access_profile profile_id 10 add access_id 33 ip source_ip 172.17.0.0 destination_ip 192.168.0.0 port 25 deny 
config access_profile profile_id 10 add access_id 34 ip source_ip 172.17.0.0 destination_ip 192.168.0.0 port 26 deny 
config access_profile profile_id 10 add access_id 35 ip source_ip 172.17.0.0 destination_ip 192.168.0.0 port 27 deny 
config access_profile profile_id 10 add access_id 36 ip source_ip 172.17.0.0 destination_ip 172.16.0.0 port 1 deny 
config access_profile profile_id 10 add access_id 37 ip source_ip 172.17.0.0 destination_ip 172.16.0.0 port 2 deny 
config access_profile profile_id 10 add access_id 38 ip source_ip 172.17.0.0 destination_ip 172.16.0.0 port 25 deny 
config access_profile profile_id 10 add access_id 39 ip source_ip 172.17.0.0 destination_ip 172.16.0.0 port 26 deny 
config access_profile profile_id 10 add access_id 40 ip source_ip 172.17.0.0 destination_ip 172.16.0.0 port 27 deny 
config access_profile profile_id 10 add access_id 41 ip source_ip 172.16.0.0 destination_ip 172.17.0.0 port 1 deny 
config access_profile profile_id 10 add access_id 42 ip source_ip 172.16.0.0 destination_ip 172.17.0.0 port 2 deny 
config access_profile profile_id 10 add access_id 43 ip source_ip 172.16.0.0 destination_ip 172.17.0.0 port 25 deny 
config access_profile profile_id 10 add access_id 44 ip source_ip 172.16.0.0 destination_ip 172.17.0.0 port 26 deny 
config access_profile profile_id 10 add access_id 45 ip source_ip 172.16.0.0 destination_ip 172.17.0.0 port 27 deny 

из данного ACL видно что vlanы не видят друг друга и не зависимы, но видят внутри себя!

Вопрос: нужно добавить еще один влан (716) с ip 172.17.1.1 и сделать так чтобы он видел всех, а его никто не видел!

Ковыряюсь, не могу понять!

Вернуться наверх

dentlight

Заголовок сообщения:

Добавлено: Пт окт 15, 2010 15:15

Зарегистрирован: Ср ноя 25, 2009 11:05
Сообщений: 44

хоть идейку подкиньте! :oops:

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Пн окт 18, 2010 10:07

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

Вам нужно deny правила спустить ниже по ID, а это правило permit сделать первым.

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

Страница 3 из 4

[ Сообщений: 47 ]

На страницу Пред. 1, 2, 3, 4 След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 63

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения