1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Пт июл 18, 2025 12:22

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 2 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
SmolDimon
 Заголовок сообщения: DGS-3420-28TC, настройка ACL для VLAN
СообщениеДобавлено: Пт окт 30, 2020 22:23 
Не в сети

Зарегистрирован: Пт окт 30, 2020 21:05
Сообщений: 1
Добрый день. Подскажите, пытаюсь разобраться с настройкой ACL в DGS-3420-28TC. Если прописывать списки доступа на основе IP-профиля с указанием source_ip_mask и destination_ip_mask все достаточно понятно и логично. Однако в коммутаторе есть возможность настройки IP-профиля с указанием VLAN, и тут в явном виде нет разделения на источник/назначение, и тут возникает ряд вопросов.
1. Vlan можно прописывать в Ethernet-профилях и в IPv4-профилях. Какая разница? Это как-то влияет на производительность?
2. У меня к примеру 3 vlan (1 отдел, 2 отдел, группа серверов) естественно, мне надо сделать доступ отделов к серверам и запретить обмен между собой. при использовании IP-профиля я бы написал следующее:
Код:
# Создание vlan
config vlan default delete 1-28
create vlan sg tag 10
config vlan sg add untagged ports 1-12
create vlan ot1 tag 20
create vlan ot2 tag 30

# Создание ip-интерфейсов для vlan
create ipif isg 192.168.1.1/24 sg state enable
create ipif iot1 192.168.2.1/24 ot1 state enable
create ipif iot2 192.168.3.1/24 ot2 state enable

# Создание trunk-канала
enable vlan_trunk
config vlan_trunk ports 28 state enable

# Доступ серверной группы (192.168.1.0/24) ко всем
create access_profile ip source_ip_mask 255.255.255.0 destination_ip_mask 0.0.0.0 profile_id 1
config access_profile profile_id 1 add access_id 1 ip source_ip 192.168.1.0 destination_ip 0.0.0.0 ports 28 permit

# Доступ отделов (192.168.2.0/24 и 192.168.3.0/24) к серверам
create access_profile ip source_ip_mask 0.0.0.0 destination_ip_mask 255.255.0.0 profile_id 2
config access_profile profile_id 2 add access_id 1 ip source_ip 0.0.0.0 destination_ip 192.168.1.0 ports 28 permit

# Запрет всему остальному (192.168.2.0/24 и 192.168.3.0/24)
create access_profile ip source_ip_mask 0.0.0.0 destination_ip_mask 0.0.0.0 profile_id 3
config access_profile profile_id 3 add access_id 1 ip source_ip 0.0.0.0 destination_ip 0.0.0.0 ports 28 deny


А как это реализовать через Ethernet-профили vlan?
3. Предположим, у меня есть еще одна vlan (int) со своим ip-интерфейсом. Мне необходимо организовать доступ к int по одной машине с каждого отдела. Если проверка доступа будет осуществляться на этапе маршрутизации, какой адрес мне необходимо указывать? (как я понимаю после ip-интерфейса vlan у всех пакетов ip-адрес одинаков)

Заранее спасибо, и прошу прошения, если спрашиваю банальные вещи, я пока новичок в данном вопросе
Вернуться наверх
 Профиль  
 
yurap
 Заголовок сообщения: Re: DGS-3420-28TC, настройка ACL для VLAN
СообщениеДобавлено: Чт июл 25, 2024 15:43 
Не в сети

Зарегистрирован: Ср апр 18, 2012 22:01
Сообщений: 4
up
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 2 ] 

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Bing [Bot] и гости: 202

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB