[Brodyaga]

3COM 4200G Swich

Software Version: 3.02.04s56

Bootrom Version: 2.03

Hardware Version: REV.B

 

На коммутаторе 3COM 4200G создано 3 VLAN

 

VLAN1 - порты 23, 24, 47,48

VLAN5 - порты 1-22

VLAN7 - порты 25-46

 

VLAN 1 интерфейс - 192.168.250.253 255.255.255.0

VLAN 5 интерфейс - 192.168.181.100 255.255.255.0

VLAN 7 интерфейс - 192.168.191.100 255.255.255.0

 

на коммутаторе добавлен маршрут

0.0.0.0 0.0.0.0 192.168.250.201 Vlan-Interface1 netmgmt

 

В интернет все ходят через шлюз 192.168.250.201

на шлюзе добавлены маршруты

192.168.181.0 mask 255.255.255.0 192.168.250.253

192.168.191.0 mask 255.255.255.0 192.168.250.253

 

Необходимо запретить

1. VLAN5 и VLAN7 общаться между собой

2. VLAN5 и VLAN7 общаться со всеми узлами VLAN1, кроме шлюза

 

1.

acl number 3001

rule 1 deny ip source 192.168.181.0 0.0.0.255 destination 192.168.191.0 0.0.0.255

quit

 

acl number 3002

rule 1 deny ip source 192.168.191.0 0.0.0.255 destination 192.168.181.0 0.0.0.255

quit

 

packet-filter VLAN 5 inbound ip-group 3001

packet-filter VLAN 7 inbound ip-group 3002

 

после этого VLAN5 и VLAN7 друг друга больше не видят

 

2.

пробовал создать правило

deny ip source 192.168.191.0 0.0.0.255 destination 192.168.250.0 0.0.0.255

после этого VLAN7 перестает общаться со всеми узлами VLAN1

 

разрешающие правила для 192.168.250.201 и 192.168.250.253 ничего не дают

 

Rule 1 permit ip source 192.168.250.253 0.0.0.0 destination 192.168.191.0 0.0.0.255

Rule 2 permit ip source 192.168.191.0 0.0.0.255 destination 192.168.250.253 0.0.0.0

Rule 3 permit ip source 192.168.250.201 0.0.0.0 destination 192.168.191.0 0.0.0.255

Rule 4 permit ip source 192.168.191.0 0.0.0.255 destination 192.168.250.201 0.0.0.0

 

в любом порядке, в любом сочетании

до запрещающего правила, после запрещающего правила

даже если я их применяю не к VLAN, а к Global ( в мануале говорится, что у Global приоритет выше)

 

судя по куче примеров на разных ресурсах выборочно закрывать/открывать узлы из VLAN можно

Что я делаю неправильно?