D-Link • Просмотр темы - ACL на VLAN DGS-3610

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

ACL на VLAN DGS-3610

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 1

[ Сообщений: 5 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

alex.selifanov

Заголовок сообщения: ACL на VLAN DGS-3610

Добавлено: Пн июн 20, 2011 21:13

Зарегистрирован: Ср дек 23, 2009 18:04
Сообщений: 77
Откуда: Москва

Добрый вечер!

Есть ЛВС состоящая из нескольких подсетей вида
192.168.1.0
192.168.2.0
192.168.3.0
.................

Также имеется общая подсеть вида 192.168.0.0/24, в которой содержаться
общие ресурсы для выше указанных подсетей(в частночти DHCP и DNS)

Все это маршрутизируется на DGS-3610, наcтроен ip helper-address для DHCP.
Вся эта конструкция более или менее работает.

Но для полного счастья хотелось бы изолировать подсети друг от друга,
оставив им только доступ только в общую подсеть 192.168.0.0.

Понимаю, что надо писать ACL на VLAN, но как грамотно не знаю :oops:

Если у кого имеются примеры, пожалуйста помогите.

Заранее спасибо!

Вернуться наверх

Artem Kolpakov

Заголовок сообщения: Re: ACL на VLAN DGS-3610

Добавлено: Вт июн 21, 2011 08:29

Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999

Пишите acl вида

Код:

ip access-list extended acl_vlan1
 10 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
 20 deny ip any any

и вешаете его на int vlan с адресом 192.168.1.1. Допустим,

Код:

interface VLAN 1
 ip access-group acl_vlan1 in

Ну и далее по аналогии.

Вернуться наверх

alex.selifanov

Заголовок сообщения: Re: ACL на VLAN DGS-3610

Добавлено: Вт июн 21, 2011 11:44

Зарегистрирован: Ср дек 23, 2009 18:04
Сообщений: 77
Откуда: Москва

Artem Kolpakov писал(а):

Пишите acl вида

Код:

ip access-list extended acl_vlan1
 10 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
 20 deny ip any any

и вешаете его на int vlan с адресом 192.168.1.1. Допустим,

Код:

interface VLAN 1
 ip access-group acl_vlan1 in

Ну и далее по аналогии.

Спасибо!

Я туда добавил еще одно правило

Код:

ip access-list extended acl_vlan1
 10 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
 20 permit ip 192.168.1.0 0.0.0.255 host 192.168.1.1
 30 deny ip any any

чтоб пинговать шлюз

Однако появилась другая проблемма
Перестали выдоваться IP адреса с DHCP сервера
Адресс сервера 192.168.0.15
и пинг до него идет с машины со статическим адресом из подсети 192.168.1.0

как мне разрешить проход пакетов DHCP,

Вернуться наверх

Maxim Klyus

Заголовок сообщения: Re: ACL на VLAN DGS-3610

Добавлено: Ср июн 22, 2011 09:18

Сотрудник D-LINK

Зарегистрирован: Ср авг 11, 2010 11:29
Сообщений: 416

15 permit udp any any eq 67 ?

желание почитать теорию и документацию у Вас не возникало?

Вернуться наверх

alex.selifanov

Заголовок сообщения: Re: ACL на VLAN DGS-3610

Добавлено: Ср июн 22, 2011 15:58

Зарегистрирован: Ср дек 23, 2009 18:04
Сообщений: 77
Откуда: Москва

Maxim Klyus писал(а):

15 permit udp any any eq 67 ?

желание почитать теорию и документацию у Вас не возникало?

Спасибо помогло!
Да конечно возникает и очень часто!
Но две книжки по 1000 листов на английском хорошо промывают мозг,
если в первый раз с этим сталкиваешься.

Вернуться наверх

Страница 1 из 1

[ Сообщений: 5 ]

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 56

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения