D-Link • Просмотр темы - Маршрутизация между VLAN на DGS-3627G

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Маршрутизация между VLAN на DGS-3627G

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 3

[ Сообщений: 44 ]

На страницу 1, 2, 3 След.

Предыдущая тема | Следующая тема

Автор

Сообщение

AlexeyKrapotkin

Заголовок сообщения: Маршрутизация между VLAN на DGS-3627G

Добавлено: Чт мар 31, 2011 14:27

Зарегистрирован: Пн фев 15, 2010 18:18
Сообщений: 45
Откуда: Шатура

Есть коммутатор DGS 3627g используется как роутер между VLAN's

имеем

Код:

# IP
config ipif System ipaddress 10.90.90.90/22 vlan management
create ipif if_1 10.0.1.254/24 users state enable
create ipif if_2 10.0.2.254/24 users state enable secondary
create ipif if_3 10.0.3.254/24 users2 state enable

вопрос
Как настроить так чтобы трафик проходил между сетями 10.0.1.0/24 10.0.2.0/24 10.0.3.0/24(VLAN users и users2) и не попадал во VLAN management ?

спасибо.

Вернуться наверх

terrible

Заголовок сообщения: Re: Маршрутизация между VLAN на DGS-3627G

Добавлено: Чт мар 31, 2011 15:38

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default

Примерно вот так: http://www.dlink.ru/ru/faq/62/204.html

Вернуться наверх

AlexeyKrapotkin

Заголовок сообщения: Re: Маршрутизация между VLAN на DGS-3627G

Добавлено: Пт апр 01, 2011 09:30

Зарегистрирован: Пн фев 15, 2010 18:18
Сообщений: 45
Откуда: Шатура

хорошо спасибо. но есть вопрос еще

делаю согласно приведеной ссылке а также вот по этой http://dlink.am/ru/faq/62/200.html
пытаюсь запретить доступ к CPU комутатора

Код:

enable cpu_interface_filtering
create cpu access_profile ip vlan source_ip_mask 255.255.255.0 destination_ip_mask 255.255.252.0 profile_id 1
config cpu access_profile profile_id 1 add access_id 1 ip vlan [b]users [/b]source_ip 10.0.2.0 destination_ip 10.90.90.0 deny

пакеты проходят на CPU (пинг)

но если делаю вот так

Код:

enable cpu_interface_filtering
create cpu access_profile ip vlan source_ip_mask 255.255.255.0 destination_ip_mask 255.255.252.0 profile_id 1
config cpu access_profile profile_id 1 add access_id 1 ip vlan [b]management [/b]source_ip 10.0.2.0 destination_ip 10.90.90.0 deny

т.е. изменяю VLAN пакеты блокируются

что я делаю не так или в ФАК опечатка или что то не то.

Прошивка Build 2.82.B23

P.S.
что означает параметр vlan т.е. какой пакет проверяется ACL на влан вх. или исхд.??

спасибо.

Вернуться наверх

terrible

Заголовок сообщения: Re: Маршрутизация между VLAN на DGS-3627G

Добавлено: Пт апр 01, 2011 09:54

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default

Если хотите закрыть весь трафик на какой-то интерфейс с какого-то влана, надо вот так:

Код:

enable cpu_interface_filtering
create cpu access_profile ip vlan source_ip_mask 255.255.255.0 destination_ip_mask 255.255.255.255 profile_id 1
config cpu access_profile profile_id 1 add access_id 1 ip vlan users source_ip 10.0.2.0 destination_ip 10.90.90.90 deny

где 10.90.90.90 - IP интерфейс комутатора

Если указывается параметр vlan, то правило будет действовать только на тегерированный трафик по указанному vlan

Вернуться наверх

AlexeyKrapotkin

Заголовок сообщения: Re: Маршрутизация между VLAN на DGS-3627G

Добавлено: Пт апр 01, 2011 10:11

Зарегистрирован: Пн фев 15, 2010 18:18
Сообщений: 45
Откуда: Шатура

делаю так как вы сказали но с портом с 1 -6

enable cpu_interface_filtering
create cpu access_profile profile_id 1 ip vlan source_ip_mask 255.255.255.0 destination_ip_mask 255.255.255.255
config cpu access_profile profile_id 1 add access_id 1 ip vlan users source_ip 10.0.2.0 destination_ip 10.90.90.90 port 1-6 deny

ПАКЕТЫ ИДУТ!

изменяю так

...
config cpu access_profile profile_id 1 add access_id 1 ip vlan management source_ip 10.0.2.0 destination_ip 10.90.90.90 port 1-6 deny

они блокируются!!

так и должно быть??

Вернуться наверх

AlexeyKrapotkin

Заголовок сообщения: Re: Маршрутизация между VLAN на DGS-3627G

Добавлено: Пт апр 01, 2011 10:19

Зарегистрирован: Пн фев 15, 2010 18:18
Сообщений: 45
Откуда: Шатура

terrible писал(а):

Если указывается параметр vlan, то правило будет действовать только на тегерированный трафик по указанному vlan

это понятно только на какой трафик исходящий или входящий

Вообще хотелось бы понять схему прохождения пакта в ACl и CPU ACL .

Вернуться наверх

Artem Kolpakov

Заголовок сообщения: Re: Маршрутизация между VLAN на DGS-3627G

Добавлено: Пт апр 01, 2011 10:24

Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999

acl срабатывают только на входящий в порт трафик

Вернуться наверх

AlexeyKrapotkin

Заголовок сообщения: Re: Маршрутизация между VLAN на DGS-3627G

Добавлено: Пт апр 01, 2011 10:29

Зарегистрирован: Пн фев 15, 2010 18:18
Сообщений: 45
Откуда: Шатура

ясно
тогда почему не отрабатывает правило ?

Код:

config cpu access_profile profile_id 1 add access_id 1 ip vlan users source_ip 10.0.2.0 destination_ip 10.90.90.90 port 1-6 deny 

Вернуться наверх

AlexeyKrapotkin

Заголовок сообщения: Re: Маршрутизация между VLAN на DGS-3627G

Добавлено: Пт апр 01, 2011 14:11

Зарегистрирован: Пн фев 15, 2010 18:18
Сообщений: 45
Откуда: Шатура

я реально не понимаю почему это правило не отрабатывает раз acl работает на входящие пакеты??
объясните пожалуйста ,

это глюк или что еще?

Рально хочется сделать так
запретить VLAN users форвардиться во VLAN mangment.

P.S. есть ли вообще такая возможность как запретить форвард пакетов по умолчанию
что то типа "echo 0 > /proc/sys/net/ipv4/ip_forward "?

Вернуться наверх

AlexeyKrapotkin

Заголовок сообщения: Re: Маршрутизация между VLAN на DGS-3627G

Добавлено: Пн апр 04, 2011 08:43

Зарегистрирован: Пн фев 15, 2010 18:18
Сообщений: 45
Откуда: Шатура

ндааа....

ясно спасибо за ответы очень "информативные"

Вернуться наверх

Alexandr Zaitsev

Заголовок сообщения: Re: Маршрутизация между VLAN на DGS-3627G

Добавлено: Пн апр 04, 2011 10:00

Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow

В Вашем случае нужно использовать не CPU, а обычные ACL

Код:

config access_profile profile_id 1 add access_id 1 ip vlan users source_ip 10.0.2.0 destination_ip 10.90.90.90 port 1-6 deny 

Вернуться наверх

AlexeyKrapotkin

Заголовок сообщения: Re: Маршрутизация между VLAN на DGS-3627G

Добавлено: Пн апр 04, 2011 10:33

Зарегистрирован: Пн фев 15, 2010 18:18
Сообщений: 45
Откуда: Шатура

не отрабатывает все равно. что я делаю не так?? :roll:

Вернуться наверх

Alexandr Zaitsev

Заголовок сообщения: Re: Маршрутизация между VLAN на DGS-3627G

Добавлено: Пн апр 04, 2011 11:10

Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow

У Вас трафик тегированный?

Вернуться наверх

AlexeyKrapotkin

Заголовок сообщения: Re: Маршрутизация между VLAN на DGS-3627G

Добавлено: Пн апр 04, 2011 16:42

Зарегистрирован: Пн фев 15, 2010 18:18
Сообщений: 45
Откуда: Шатура

да тегированый

Вернуться наверх

Alexandr Zaitsev

Заголовок сообщения: Re: Маршрутизация между VLAN на DGS-3627G

Добавлено: Пн апр 04, 2011 17:00

Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow

Я проверю и напишу по результатам

Вернуться наверх

Страница 1 из 3

[ Сообщений: 44 ]

На страницу 1, 2, 3 След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 55

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения