Добрый день!

Ранее с d-link дела не имел, да и L3 коммутатора в сети не было, возможны глупые вопросы )))

пытаемся настроить DGS-3130-54PS и DGS-1210-28MP/ME

на 3130 подняли vlan и интрефейсы, настроили dhcp во vlan и т.д. с этим вроде как все понятно.

Встал вопрос как раздать интернет во vlan'ы, решили поднять RIP до Микротика(он же default route на 3130).

Интернет во vlan'ах появился, приступили к изучению acl и тут появились вопросы )

1 - как закрыть доступ до коммутатора внутри vlan, чтоб он был доступен для хостов только как шлюз? если закрыть доступ к ssh и веб-интерфесу этого будет достаточно?

пример для vlan 10

Extended IP access list v10(ID: 2010)
20 deny tcp 192.168.10.0 0.0.0.255 host 192.168.10.1 eq 22
30 deny tcp 192.168.10.0 0.0.0.255 host 192.168.10.1 eq http


2 - Как правильно запретить маршрутизацию между vlan?

например у нас есть vlan 10 (192.168.10.0) и vlan 55 (192.168.55.0)
ip vlan10 - 192.168.10.1
ip vlan55 - 192.168.55.1

я добавил правило в acl v10 для vlan 10 (этот acl "повесил" на все access порты vlan10)

deny 192.168.55.0 0.0.0.255 192.168.10.0 0.0.0.255
deny 192.168.10.0 0.0.0.255 192.168.55.0 0.0.0.255 нужно ли добавить еще обратное правило?

Хосты перестали видеть друг друга, но хосты из vlan 10 могут подключится к коммутатору по адресу 192.168.55.1 доступен и ssh и web, а хосты из vlan 55 к 192.168.10.1 нет. Почему так происходит?

нужно ли создавать аналогичный acl с правилами запрета между vlan 55 и 10 на портах для vlan 55 ?

3 - а как быть если мы подключаем транком dgs-1210? на нем же не будут отрабатываться acl т.к они "висят" на физическом порту,а не на vlan интерфейсе ? делать общий acl на транк? или на 1210 аналогичные acl писать для vlan ?