tihon85 Posted January 18, 2015 · Report post Всем доброго дня.Может кто сталкивался с Huawei eNSP? Для дипломного проекта спроектировал в eNSP сеть, не могу разобраться как настроить маршрутизацию между VLAN, точнее настроить ее можно - хосты с разных влан видят друг-друга. А как сделать чтоб, например, все vlanы видели только один vlan, но не видели другие? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zstas Posted January 18, 2015 · Report post вы путаете тёплое с мягким. маршрутизация может быть между сетями, а уж как эти сети разделены (физически, vlan, etc) - маршрутизатору пофик. то, что вы хотите - access list. на каждый ip-интерфейс вешаете акцес лист, в нём рисуете правила хождения трафика. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
tihon85 Posted January 18, 2015 · Report post вы путаете тёплое с мягким. маршрутизация может быть между сетями, а уж как эти сети разделены (физически, vlan, etc) - маршрутизатору пофик. то, что вы хотите - access list. на каждый ip-интерфейс вешаете акцес лист, в нём рисуете правила хождения трафика. access list-ами я пробовал, конфигурировал точно по инструкции.В Cisco Packet Traser все работает, а вот с Huawei не идет. Может дело в эмуляторе, проверить на реальном оборудование нет возможности. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zstas Posted January 18, 2015 · Report post tihon85, покажите как рисуете акцес лист Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
tihon85 Posted January 18, 2015 · Report post [Huawei]acl 3100 //создали лист [Huawei-acl-adv-3100]rule permit(либо deny) ip source 192.168.12.0 0.0.0.255 destination 19 2.168.13.0 0.0.0.255 //создали правило Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted January 18, 2015 · Report post tihon85 На хуавее обычно блокируют/разрешают трафик с помощью traffic-policy пишите traff class (в котором используете ACL-и с permit) потом пишите traff behavior. если надо блокировать, то пишите deny в traff policy связываете classifier-ы и behavior-ы , затем применяете traff policy на интерфейс Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
GrandPr1de Posted January 18, 2015 · Report post ну я обычно пишу через 2 акли. acl 3000 rule permit ip source 192.168.0.0 0.0.0.255 acl 3001 rule deny ip traffic classifier access oper and if-match acl 3000 traffic classifier reject oper and if-match acl 3001 traffic behavior access permit traffic behavior reject deny traffic policy pol classifier access behavior access classifier reject behavior reject А потом на порту уже traffic-policy pol inbound Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
tihon85 Posted January 25, 2015 · Report post Сконфигурировал я коммутатор, применил настройки traffic-policy, трафик между разными сетями, где необходимо идет, где запрещено там нет. Все это замечательно, но это в примере одного коммутатора и на каждом порту свой VLAN. В реальности сеть больше, маршрутизацию должен выполнять маршрутизатор, подключенный к внутренней сети через интерфейс, разделенный на подинтерфейсы (количество подинтерфейсов соответствует числу VLAN в сети. Вопрос в следующем - применимы ли настройки traffic-policy к подинтерфейсам на маршрутизаторе? Конфигурируя подинтерфейсы по аналогии с простым примером, трафик между сетями (виланами) не идет. Либо я что-то не так делаю, либо сам эмулятор Huawei eNSP в этом плане "подрезан". Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted January 25, 2015 · Report post tihon85 конфиги выкладывайте и говорите с какого source на какой destination не идёт и куда(на какой саб) приходит пакет Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
tihon85 Posted January 25, 2015 (edited) · Report post для наглядности сеть упростил,с конфигурацией коммутатора, я думаю все просто, порты на компьютеры в режиме access, порт на маршрутизатор trunk со всеми виланами.На схеме сети стрелками указаны нужный трафик, перечеркнутые стрелки, где не нужен.Весь трафик должен идти через маршрутизатор. vlan batch 10 20 30 40 # stp disable # set cpu-usage threshold 80 restore 75 # acl number 3002 rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 acl number 3003 rule 5 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 # traffic classifier c_market operator or if-match acl 3002 traffic classifier c_rd operator or if-match acl 3003 # traffic behavior b_market deny # traffic policy p_market classifier c_market behavior b_market traffic policy p_rd # interface Vlanif10 ip address 192.168.1.1 255.255.255.0 # interface Vlanif20 ip address 192.168.2.1 255.255.255.0 # interface Vlanif30 ip address 192.168.3.1 255.255.255.0 # interface Vlanif40 ip address 192.168.4.1 255.255.255.0 # interface GigabitEthernet0/0/0 # interface GigabitEthernet0/0/1 # interface GigabitEthernet0/0/1.1 dot1q termination vid 10 # interface GigabitEthernet0/0/1.2 dot1q termination vid 20 traffic-policy p_market inbound # interface GigabitEthernet0/0/1.3 dot1q termination vid 30 # interface GigabitEthernet0/0/1.4 dot1q termination vid 40 traffic-policy p_rd inbound пппппп.bmp Edited January 25, 2015 by tihon85 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted January 25, 2015 · Report post обычно traffic-policy вешают там же, где и висит ip-адрес. зачем вы вообще так сделали?(повесили ip адрес на интерфейс-влан, а не саб) без traffic-policy оно вообще работает? (трафик маршрутизируется, но не режется?) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
tihon85 Posted January 25, 2015 · Report post в том то и дело что без traffic-policy тоже не работает, хотя по логике должен маршрутизироваться. пробовал вместо маршрутизатора коммутатор, связывал его с первым через транк интерфейс и создавал влан интерфейсы во втором коммутаторе, в итоге все компьютеры с разных виланов видят друг друга. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted January 25, 2015 · Report post повесьте ip-адреса в сабы. то, как у вас сейчас настроено я не знаю как должно работать, скорее всего никак покажите dis ip rout и dis interface brief Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
tihon85 Posted January 27, 2015 · Report post с ip адресами в сабах тоже не работает. Значит первоначально настройки не те. С traffic-policy столкнулся впервые, да и вообще с huawei. Попробую объяснить сначала, подскажите, пожалуста, как сконфигурировать и где я не прав. Дана сеть, в сети коммутатор и маршрутизатор, даны четыре вилана - 10,20,30,40. 30 вилан предназначен для подключения сервера.Необходимо сконфигурировать так, чтобы трафик был между 30 виланом и остальными, но между остальными виланами 10,20 и 40 трафика не было(проще говоря, все видят сервер, но не видят друг друга).Важно - маршрутизация трафика в маршрутизаторе. С коммутатором все понятно- создаем виланы, конфигурируем порты,вешаем на них виланы. Маршрутизатор-конфигурируем подинтерфейсы: [Huawei-GigabitEthernet0/0/1.1]dot1q termination vid 10 [Huawei-GigabitEthernet0/0/1.1]ip address 192.168.1.1 24 и так четыре подинтерфейса,под каждый вилан создаем ACL: acl number 3005 rule 5 permit ip source any destination 192.168.3.0 0.0.0.255 // разрешили трафик между всеми и сетью сервера далее запретил трафик между остальными сетями: rule 10 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 rule 15 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.4.0 0.0.0.255 rule 20 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.4.0 0.0.0.255 а как действовать дальше не пойму. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Stak Posted January 28, 2015 · Report post в такой конфигурации у вас все хосты должны друг друга пинговать, пока трафик полиси не повесите на интерфейс. На хуавее, в отличи от циски, ацл непосредственно к интерфейсу не прикручивается. Поэтому, фильтровать надо через трафик-полиси. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Stak Posted January 28, 2015 · Report post т.е. , согласно хорошему примеру выше, вам надо что-то вроде: acl 3000 rule permit ip source any destination 192.168.3.0 0.0.0.25 acl 3001 rule deny ip traffic classifier access oper and if-match acl 3000 traffic classifier reject oper and if-match acl 3001 traffic behavior access permit traffic behavior reject deny traffic policy client-pol classifier access behavior access classifier reject behavior reject Huawei-GigabitEthernet0/0/1.10 traffic-policy client-pol inbound Huawei-GigabitEthernet0/0/1.20 traffic-policy client-pol inbound Huawei-GigabitEthernet0/0/1.40 traffic-policy client-pol inbound Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
tihon85 Posted January 28, 2015 · Report post спасибо большое за подсказку в конфигурировании, сегодня попробую запустить Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...