leveler Posted March 27, 2006 Posted March 27, 2006 А кто подскажет следущее? Хочу настроить фильтрацию. Чтоб с определенного IP-адреса определенные сети были доступны, а всё остальное нет. Нашел только, чтобы запрещать, а чтобы разрешать нет. Кстати, Зюхель ES-4024A. Версия прошивки ZyNOS F/W Version: V3.60(TV.0) | 05/12/2005. Вставить ник Quote
leveler Posted March 27, 2006 Author Posted March 27, 2006 Вот, еще добавляю: И как такое можно на зюхеле ES-3124? Вставить ник Quote
SG Posted March 28, 2006 Posted March 28, 2006 Вы правы. Технология Classifier+Filtering позволяет только выделить и заблокировать определённый тип трафика. Делать исключения она не умеет. Поэтому в ES-4024A необходимо указать все сети, доступ в которые необходимо запретить. В новых моделях коммутаторов, в том числе и ES-3124, реализован более совершенный способ управления трафиком – Classifier + Policy Благодаря ему вы можете очень просто решить поставленную задачу. Описание настройки и подробно рассмотренный пример вы можете посмотреть в статье "Фильтрация трафика на основе IP- и MAC-адресов в Ethernet-коммутаторах ZyXEL серии ES-3100", нашей базы знаний. http://zyxel.ru/content/support/knowledgebase/KB-1253 Вставить ник Quote
leveler Posted March 29, 2006 Author Posted March 29, 2006 Спасибо. С правилами на ES-3100 по мануалу вроде разобрались. Надо будет теперь на практике попробовать. Единственное, что не совсем ясно по след. пункту: Порядок выполнения правил не зависит от индекса (Index). Правила выполняются в зависимости от глубины вложенности информации в пакете данных в следующем порядке: 1. Порт 2. Мак-адрес (уровень 2 модели OSI) 3. IP-адрес 4. TCP Если я работаю только с фильтрацией IP-адресов и сеток, то в каком порядке будут выполняться правила? Можно пару-тройку примеров? Вставить ник Quote
amper Posted November 28, 2006 Posted November 28, 2006 (edited) Кстати, схожий вопрос: Есть сеть из 15 клиентских VLAN'ов, необходимо выделить один серверный VLAN, в который соответственно будут иметь доступ все, однако между VLAN'ами доступа быть не должно. Присматриваю для этих целей ES-4024A, как я понимаю, маршрутизацией создаем полный роутинг между всеми VLAN'ами и только фильтрами, на каждом VLAN'е режем не нужные пакеты. Правильно ли я понимаю, что он позволяет навешивать на каждый интерфейс по 1 фильтру с 6 правилами внутри? Таким образом типовой фильт на клиентский VLAN будет выглядеть так: правило No1 если source: 192.168.1.0 (серверная подсеть) destination: 192.168.2.0 (клиентская подсеть) action matched: forward, action not matched: check next rule правило No2 если source: 0.0.0.0 (т.е. как бы все) и destination 0.0.0.0 (опять все) action matched: drop... Вроде все просто или нет? P.S. Кстати, а если в сети 192.168.2.0 появится клиент с адресом 192.168.1.100 (как бы из серверной подсети) и через роутер попытается обратиться к сети 192.168.3.0 (т.е. клиентской) - как на это "посмотрит" ES-4024A, ведь по идее Source IP у пакета будет из разрешенного диапазона или у него ничего не получится, поскольку в таблице маршрутизации свича для подсети 192.168.1.0 прописан другой интерфейс? P.P.S. Еще такой вопрос, позволяет ли он агрегированным портам (объединенным линкам) быть tagged в vlan'ах? Edited November 28, 2006 by amper Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.