Вопрос по коммутатору D-link DES-3810-28

[feo85]

Суть проблемы такая: имеется коммутатор l3 D-link DES-3810-28. На нем настроено 3 vlan’а. На каждый vlan назначен свой ip. Как с помощью ACL ограничить доступ между vlan (т.е. если пользователь пропишет маршрут к другой сети, где шлюзом будет являться интерфейс коммутатора соответствующего vlan, то он без проблем попадает в другой vlan)?

 

Я пробовал так:

 

create access_profile profile_id 100 profile_name deny_all_net ip source_ip_mask 255.255.255.0 destination_ip_mask 255.255.255.0
config access_profile profile_id 100 add access_id 1 ip ip source_ip 192.168.0.0 destination_ip 192.168.1.0 port 1-28 deny
config access_profile profile_id 100 add access_id 2 ip ip source_ip 192.168.0.0 destination_ip 172.16.1.0 port 1-28 deny
config access_profile profile_id 100 add access_id 3 ip ip source_ip 192.168.1.0 destination_ip 192.168.0.0 port 1-28 deny
config access_profile profile_id 100 add access_id 4 ip ip source_ip 192.168.1.0 destination_ip 172.16.1.0 port 1-28 deny
config access_profile profile_id 100 add access_id 5 ip ip source_ip 172.16.1.0 destination_ip 192.168.0.0 port 1-28 deny
config access_profile profile_id 100 add access_id 6 ip ip source_ip 172.16.1.0 destination_ip 192.168.1.0 port 1-28 deny

 

Но тогда получается что некоторые пользователи, которым необходим доступ к другому vlan, который в свою очередь осуществляется через отдельный шлюз с фильтрацией по портам (например из подсети 172.16.1.0 в подсеть 192.168.0.0), не могут попасть в него, т.к. свитч блокирует это.

[Ivan_83]

Убрать с коммутатора L3 адреса вообще, настроить роутинг и фаер на шлюзе.

Добавить на коммутаторе один адрес в манагемент влане - для управления.

[feo85]

А по другому никак нельзя? Именно чтоб на коммутаторе настроить.

[Ivan_83]

А на кой коммутатору вообще IP?

Крутите тогда разрешающие ацл перед запрещающими.