1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Вс июл 20, 2025 01:01

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 4 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
johnart
 Заголовок сообщения: DES-3828 и ACL
СообщениеДобавлено: Ср янв 12, 2011 04:06 
Не в сети

Зарегистрирован: Чт ноя 11, 2010 08:02
Сообщений: 15
Всем привет! Помогите настроить маршрутизацию между VLAN'ами.
Создал VLAN'ы:
Скрытый текст: показать
Command: show vlan

VID : 1 VLAN Name : default
VLAN TYPE : static Advertisement : Enabled
Member ports : 1-4,25-28
Static ports : 1-4,25-28
Current Tagged ports :
Current Untagged ports : 1-4,25-28
Static Tagged ports :
Static Untagged ports : 1-4,25-28
Forbidden ports :

VID : 2 VLAN Name : VLAN2
VLAN TYPE : static Advertisement : Disabled
Member ports : 5-6
Static ports : 5-6
Current Tagged ports :
Current Untagged ports : 5-6
Static Tagged ports :
Static Untagged ports : 5-6
Forbidden ports :

VID : 3 VLAN Name : VLAN3
VLAN TYPE : static Advertisement : Disabled
Member ports : 7-11
Static ports : 7-11
Current Tagged ports :
Current Untagged ports : 7-11
Static Tagged ports :
Static Untagged ports : 7-11
Forbidden ports :

VID : 4 VLAN Name : VLAN4
VLAN TYPE : static Advertisement : Disabled
Member ports : 12-22
Static ports : 12-22
Current Tagged ports :
Current Untagged ports : 12-22
Static Tagged ports :
Static Untagged ports : 12-22
Forbidden ports :

VID : 5 VLAN Name : VLAN5
VLAN TYPE : static Advertisement : Disabled
Member ports : 23-24
Static ports : 23-24
Current Tagged ports :
Current Untagged ports : 23-24
Static Tagged ports :
Static Untagged ports : 23-24
Forbidden ports :

Назначил им ip-интерфейсы:
Скрытый текст: показать
Command: show ipif

IP Interface Settings
Interface Name : System
IP Address : 192.168.1.1 (MANUAL)
Secondary : FALSE
Subnet Mask : 255.255.255.0
VLAN Name : default
Admin. State : Enabled
Proxy ARP : Disabled
Link Status : Link UP
Member Ports : 1-4,25-28

Interface Name : v2
IP Address : 192.168.2.1 (MANUAL)
Secondary : FALSE
Subnet Mask : 255.255.255.0
VLAN Name : VLAN2
Admin. State : Enabled
Proxy ARP : Disabled
Link Status : Link DOWN
Member Ports : 5-6

Interface Name : v3
IP Address : 192.168.3.1 (MANUAL)
Secondary : FALSE
Subnet Mask : 255.255.255.0
VLAN Name : VLAN3
Admin. State : Enabled
Proxy ARP : Disabled
Link Status : Link DOWN
Member Ports : 7-11

Interface Name : v4
IP Address : 192.168.4.1 (MANUAL)
Secondary : FALSE
Subnet Mask : 255.255.255.0
VLAN Name : VLAN4
Admin. State : Enabled
Proxy ARP : Disabled
Link Status : Link DOWN
Member Ports : 12-22

Interface Name : v5
IP Address : 192.168.5.1 (MANUAL)
Secondary : FALSE
Subnet Mask : 255.255.255.0
VLAN Name : VLAN5
Admin. State : Enabled
Proxy ARP : Disabled
Link Status : Link DOWN
Member Ports : 23-24


Задача для ACL:
default видит VLAN2-VLAN5;
VLAN2-VLAN5 видят default;
VLAN2-VLAN5 друг друга не видят.

Пишу на бумаге правила:
- Если Dest.IP=192.168.1.x , то разрешить доступ
- Если Src.IP=192.168.1.x , то разрешить доступ
- Если Dest.IP=192.168.2.x и Src.IP=192.168.2.x , то разрешить доступ
- Если Dest.IP=192.168.3.x и Src.IP=192.168.3.x , то разрешить доступ
- Если Dest.IP=192.168.4.x и Src.IP=192.168.4.x , то разрешить доступ
- Если Dest.IP=192.168.5.x и Src.IP=192.168.5.x , то разрешить доступ
- Все остальное запретить

Приступаю:

Если Dest.IP=192.168.1.x , то разрешить доступ
Код:
create access_profile ip destination_ip_mask 255.255.255.0 profile_id 10
config access_profile profile_id 10 add access_id 1 ip destination_ip 192.168.1.0 port 1-28 permit

Если Src.IP=192.168.1.x , то разрешить доступ
Код:
create access_profile ip source_ip_mask 255.255.255.0 profile_id 11
config access_profile profile_id 11 add access_id 1 ip source_ip 192.168.1.0 port 1-28 permit

Разрешаю доступ внутри подсетей 192.168.2.x , 192.168.3.x , 192.168.4.x , 192.168.5.x
Код:
create access_profile ip source_ip_mask 255.255.255.0 destination_ip_mask 255.255.255.0 profile_id 12
config access_profile profile_id 12 add access_id 1 ip source_ip 192.168.2.0 destination_ip 192.168.2.0 port 1-28 permit
config access_profile profile_id 12 add access_id 30 ip source_ip 192.168.3.0 destination_ip 192.168.3.0 port 1-28 permit
config access_profile profile_id 12 add access_id 60 ip source_ip 192.168.4.0 destination_ip 192.168.4.0 port 1-28 permit
config access_profile profile_id 12 add access_id 90 ip source_ip 192.168.5.0 destination_ip 192.168.5.0 port 1-28 permit

Запрещаю все остальное
Код:
create access_profile ip source_ip_mask 0.0.0.0 profile_id 13
config access_profile profile_id 13 add access_id 1 ip source_ip 0.0.0.0 port 1-28 deny
save


Далее делаю проверку:
1. Подключаю DES-3828 между Desktop'ом (ip: 192.168.1.50 (manual), физически подключен к 1 порту коммутатора - default вилан) и Laptop'ом (ip: 192.168.4.100 (manual), физически подключен к 15 порту коммутатора - VLAN4)

Пингую с десктопа:
192.168.1.1 (ip default vlan'а) - пинг идет
192.168.4.1 (ip VLAN4) - пинг идет
192.168.4.100 (ip Laptop'а) - пинг не идет (а должен!!, по идее...)

Пингую с лэптопа:
192.168.4.1 - пинг идет
192.168.1.1 - пинг идет
192.168.1.50 (ip Desktop'а) - пинг не идет (а должен!!, по идее...)

2. Внутри VLAN'ов пинги проходят нормально (как и должно быть)

3. Между VLAN'ами 2-5 пинги не проходят дальше ip'ов собственных интерфейсов (как и должно быть)

Получается, что у меня не выполняются правила
- Если Dest.IP=192.168.1.x , то разрешить доступ
- Если Src.IP=192.168.1.x , то разрешить доступ
Т.е., исходя из проверки 1, они выполняются только до ip'ов интерфейсов vlan'ов.

Подскажите, пожалуйста, где я был неправ?
Вернуться наверх
 Профиль  
 
Alexandr Zaitsev
 Заголовок сообщения: Re: DES-3828 и ACL
СообщениеДобавлено: Ср янв 12, 2011 11:11 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow
Вы перед тестами на компьютерах прописали шлюз?
Вернуться наверх
 Профиль  
 
johnart
 Заголовок сообщения: Re: DES-3828 и ACL
СообщениеДобавлено: Ср янв 12, 2011 11:40 
Не в сети

Зарегистрирован: Чт ноя 11, 2010 08:02
Сообщений: 15
Да, шлюзами в соответствующих VLAN'ах прописаны ip интерфейсы этих VLAN'ов.

Upd: Проблема решена! Пинги не ходили из-за блокировки icmp брандмауэром Windows 7 (по умолчанию). Добавил соответствующее правило в брандмауэр и все пошло.

P.S. Попробую поставить свитч ядром сети, о результатах отпишусь в данной теме.
Вернуться наверх
 Профиль  
 
Alexandr Zaitsev
 Заголовок сообщения: Re: DES-3828 и ACL
СообщениеДобавлено: Ср янв 12, 2011 13:20 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow
Рад слышать
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 4 ] 

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 34

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB