Настройка ACL на DGS-3130

@BDV87 · Регистрация: 14.12.2022

Студворк — интернет-сервис помощи студентам

Добрый день есть сетка, разделенная на 3 vlan в данный момент из разных сетей все видят всех. Конфиг на коммутаторе такой:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
interface ethernet 1/0/1
switchport mode access
exit
 
....
 
interface ethernet 1/0/19
switchport mode access
exit
 
interface ethernet 1/0/20
switchport mode access
switchport access vlan 172
exit
 
interface ethernet 1/0/21
switchport mode access
switchport access vlan 172
exit
 
interface ethernet 1/0/22
switchport mode access
switchport access vlan 172
exit
 
interface ethernet 1/0/23
switchport mode access
switchport access vlan 172
exit
 
interface ethernet 1/0/24
switchport mode access
switchport access vlan 172
exit
 
interface ethernet 1/0/25
switchport mode access
switchport access vlan 192
exit
 
interface ethernet 1/0/26
switchport mode trunk
switchport trunk allowed vlan 1,172,192
exit
 
 
interface mgmt 0
ip address 192.168.0.1 255.255.255.0
exit
interface vlan 1
ip address 10.10.10.201 255.255.255.0
exit
 
interface vlan 172
ip address 172.16.10.1 255.255.255.0
exit
 
interface vlan 192
ip address 192.168.10.1 255.255.255.0
exit
 
interface null 0
exit
ip route 0.0.0.0 0.0.0.0 10.10.10.210 weight 1
exit

Как можно ACL настроить что бы из сети 172.16.10.0/24 видеть все сети.(Так понимаю тут ничего настраивать не надо). Сеть 192.168.10.0/24 могла видеть только пару ip адресов из сети 10.10.10.0/24 , КД к примеру 10.10.10.1 но не видеть 172.168.10.0.24. А сеть 10.10.10.0/24 могла видеть всё из сети 192.168.10.0/24 но не видеть 172.16.10.0/24.

@insect_87 · 21.12.2022, 09:43

https://ftp.dlink.ru/pub/Switc... LI_RUS.pdf

@BDV87 · 21.12.2022, 12:24 **[ТС]**

Сообщение от insect_87

https://ftp.dlink.ru/pub/Switc... LI_RUS.pdf

если я правильно понимаю нужно создать 2 листа доступа

Code
1
2
3
4
5
6
  access-list  vlan192 
    permit ip 192.168.10.0 0.0.0.255 host 10.10.10.2
    deny ip any any
 
  access-list  vlan1 
    deny ip 10.10.10.0 0.0.0.255 ip 172.16.10.0 0.0.0.255

В первом я разрешаю сети 192,168,10,0 ходить на хост 10,10,10,2 и запрещаю в другие сети.
Во втором листе я запрещаю сети 10,10,10,0 ходить в сети на 172,16,10,0.
Можете поправить если я не прав???

@insect_87 · 21.12.2022, 13:46

Code
1
2
3
  access-list  vlan192 
    permit ip 192.168.10.0 0.0.0.255 host 10.10.10.2
    deny ip any any

Code
1
2
 access-list  vlan1 
    deny ip 10.10.10.0 0.0.0.255 ip 172.16.10.0 0.0.0.255

при таких правилах вы не сможете из сети 172.* попасть в сети 192.* и 10.*, так как ответные пакеты из этих сетей не пройдут
а из сети 10.* вообще никуда не сможете (вот не помню как в d-link.... а в cisco есть последнее неявное правило deny ip any any)

то, что вы хотите сделать - делается с отслеживанием состояния соединения (например established, new).
в таком L3 свичте, думаю, нет ACL, работающих с состояниями соединения, тупо пакетные фильтры

так вот можно костылем сделать по ограничению портов (опять же только для TCP)

то есть написать такие правила:
access-list vlan192
из сети 192.168.10.0/24 с портов 49152—65535 можно отправлять пакеты только хоcту 10.10.10.2 по tcp
из сети 192.168.10.0/24 можно отправлять пакеты в сеть 172.16.10.0/24 по tcp на порты 49152—65535
запретить весь остальной трафик из сети 192.168.10.0/24
access-list vlan1
из сети 10.10.10.0/24 с портов 49152—65535 можно отправлять пакеты в сеть 192.168.10.0/24 по tcp
из сети 10.10.10.0/24 можно отправлять пакеты в сеть 172.16.10.0/24 по tcp на порты 49152—65535
запретить весь остальной трафик из сети 10.10.10.0/24

потом списки применяются на интерфейсы через ip access-group

@BDV87 · 21.12.2022, 16:15 **[ТС]**

access-list ы примерно так должны выглядеть???

Code
1
2
3
4
5
6
7
8
9
10
11
ip access-list extended vlan192
permit tcp 192.168.10.0 0.0.0.255 host 10.10.10.2 range 49152 65535
permit tcp 192.168.10.0 0.0.0.255 172.16.10.0 0.0.0.255 range 49152 65535
deny tcp 192.168.10.0 0.0.0.255 any range 0 49151
exit
 
ip access-list extended vlan1
permit tcp 10.10.10.0 0.0.0.255 172.16.10.0 0.0.0.255 range 49152 65535
permit tcp 10.10.10.0 0.0.0.255 192.168.10.0 0.0.0.255 range 49152 65535
deny tcp 10.10.10.0 0.0.0.255 any range 0 49151
exit

или тут можно оставить так ???

Code
1
2
deny tcp 192.168.10.0 0.0.0.255 any
deny tcp 10.10.10.0 0.0.0.255 any

И ещё вопрос такой, если допустим есть оракловый сервак(к примеру 10.10.10.3), то что бы из сети 192.* его увидели то необходимо открыть порт 1521 ?

Code
1
permit tcp 192.168.10.0 0.0.0.255 host 10.10.10.3 eq 1521

@insect_87 · 21.12.2022, 16:31

Code
1
2
3
4
5
6
7
8
9
10
11
ip access-list extended vlan192
permit tcp 192.168.10.0 0.0.0.255 range 49152 65535 host 10.10.10.2 
permit tcp 192.168.10.0 0.0.0.255 172.16.10.0 0.0.0.255 range 49152 65535
deny tcp 192.168.10.0 0.0.0.255 any
exit
 
ip access-list extended vlan1
permit tcp 10.10.10.0 0.0.0.255 range 49152 65535 192.168.10.0 0.0.0.255 
permit tcp 10.10.10.0 0.0.0.255 172.16.10.0 0.0.0.255 range 49152 65535
deny tcp 10.10.10.0 0.0.0.255 any 
exit

Сообщение от BDV87

И ещё вопрос такой, если допустим есть оракловый сервак(к примеру 10.10.10.3), то что бы из сети 192.* его увидели то необходимо открыть порт 1521 ?

ну если другие порты не надо открывать - то да

про udp (если он нужен), icmp и другие, инкапсулируемые в ip, протоколы не забывайте, выше правила только для TCP

листы вешайте на соответствующие int vlan через ip access-group в направлении in

@BDV87 · 22.12.2022, 12:01 **[ТС]**

Опять наверно что-то не так делаю. Решил в конфиг добавить сервера нужные c портами, но c сети 192* так и не увидел нужного результата. Не отображается к примеру страница с 10.10.10.3

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
ip access-list extended vlan1 3998
10 permit tcp host 10.10.10.3 eq http 192.168.10.0 0.0.0.255
20 permit tcp host 10.10.10.3 eq 8000 192.168.10.0 0.0.0.255
30 permit tcp host 10.10.10.4 eq 1251 192.168.10.0 0.0.0.255
40 permit tcp 10.10.10.0 0.0.0.255 range 49152 65535 192.168.10.0 0.0.0.255
50 permit tcp 10.10.10.0 0.0.0.255 172.16.10.0 0.0.0.255
60 deny tcp 10.10.10.0 0.0.0.255 any
exit
ip access-list extended vlan192 3999
10 permit tcp 192.168.10.0 0.0.0.255 eq http host 10.10.10.3
20 permit tcp 192.168.10.0 0.0.0.255 eq 8000 host 10.10.10.3
30 permit tcp 192.168.10.0 0.0.0.255 eq 1251 host 10.10.10.4
40 permit tcp 192.168.10.0 0.0.0.255 range 49152 65535 host 10.10.10.2
50 permit tcp 192.168.10.0 0.0.0.255 172.16.10.0 0.0.0.255 range 49152 65535
60 deny tcp 192.168.10.0 0.0.0.255 any
exit
 
interface ethernet 1/0/1
switchport mode access
exit
...
interface ethernet 1/0/19
switchport mode access
exit
 
interface ethernet 1/0/20
switchport mode access
switchport access vlan 172
exit
...
interface ethernet 1/0/24
switchport mode access
switchport access vlan 172
exit
 
interface ethernet 1/0/25
switchport mode access
switchport access vlan 192
ip access-group vlan192 in
exit
 
interface ethernet 1/0/26
switchport mode trunk
switchport trunk allowed vlan 1,172,192
ip access-group vlan1 out
exit
 
 
interface mgmt 0
ip address 192.168.0.1 255.255.255.0
exit
interface vlan 1
ip address 10.10.10.201 255.255.255.0
exit
 
interface vlan 172
ip address 172.16.10.1 255.255.255.0
exit
 
interface vlan 192
ip address 192.168.10.1 255.255.255.0
exit
 
interface null 0
exit
ip route 0.0.0.0 0.0.0.0 10.10.10.210 weight 1
exit

Или на транковый порт нельзя вешать ACL правила??? и не напутал ли я in , out на интерфейсах (на 192 юзеры) сервера сейчас не висят на интерфейсах коммутатора, хотят через транк (может ли из-за этого не работать) и ещё смущает запись если делаешь:

Code
1
2
3
4
5
6
interface ethernet 1/0/26
switchport mode trunk
switchport trunk allowed vlan 1,172,192
ip access-group vlan1 out
 WARNING: Egress ACL do not support fields: gt, lt, neq, range, inner, flow-label.
 PROMPT: The remaining applicable IP access entries are 251.

@insect_87 · 22.12.2022, 13:52

вот так надо было

Code
1
2
3
10 permit tcp 192.168.10.0 0.0.0.255 host 10.10.10.3 eq http 
20 permit tcp 192.168.10.0 0.0.0.255 host 10.10.10.3 eq 8000 
30 permit tcp 192.168.10.0 0.0.0.255 host 10.10.10.4 eq 1251

Сообщение от BDV87

Или на транковый порт нельзя вешать ACL правила???

на int vlan надо вешать, я же сказал выше

@BDV87 · 22.12.2022, 14:53 **[ТС]**

Сообщение от insect_87

на int vlan надо вешать, я же сказал выше

на int vlan не даёт повесить только на интерфейс

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
Switch(config)#interface vlan 192
 
Switch(config-if)#ip ?
 
address                  Create an IP address and subnet for an interface.
dhcp                     Configure DHCP snooping options.
directed-broadcast       Enable forwarding of directed broadcasts
helper-address           Specify a destination address for UDP broadcasts
igmp                     Configure IGMP parameters.
local-proxy-arp          Enable proxy ARP local
mtu                      Set the default MTU size for IP protocol.
ospf                     Configure Open Shortest Path First parameters.
pim                      Enable/Disable PIM parameters.
policy                   Enable policy routing
proxy-arp                Enable proxy ARP
redirects                Enable/Disable sending of ICMP redirects.
rip                      Configure router interface protocol settings in the
                         router.
unreachables             Enable/Disable sending of ICMP unreachables.
 
Switch(config-if)#ip

а такая петрушка с интерфейсом

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
Switch(config)#interface ethernet 1/0/25
 
Switch(config-if)#ip ?
 
access-group             Add access list to the Group.
arp                      IP ARP global configuration
dhcp                     Configure DHCP snooping options.
igmp                     Enable/Disable IGMP Snooping.
ip-mac-port-binding      IP-MAC Port binding
pim                      Enable/Disable PIM parameters.
redirects                Enable/Disable sending of ICMP redirects.
rip                      Configure router interface protocol settings in the
                         router.
unreachables             Enable/Disable sending of ICMP unreachables.
verify                   Verify improvements
 
Switch(config-if)#ip

Может это особенность D-link а ??
А ещё скажите что бы просто пинг между сетями заблокировать нужно deny icmp ??
В любом случае спасибо!!!

@insect_87 · 22.12.2022, 15:50

Сообщение от BDV87

А ещё скажите что бы просто пинг между сетями заблокировать нужно deny icmp ??

да

Сообщение от BDV87

на int vlan не даёт повесить только на интерфейс

попробуйте на VLAN

@BDV87 · 22.12.2022, 15:56 **[ТС]**

Сообщение от insect_87

попробуйте на VLAN

Если правильно понимаю то там тоже нет такой возможности

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
Switch(config-vlan)#?
 
do                       Run Privileged Exec mode commands.
end                      Exit to EXEC mode
exit                     Exit from current mode
ip                       Global IP configuration subcommands
ipv6                     Internet Protocol Version 6 (IPv6)
multicast                Configure the handling method for unregistered
                         multicast packets for a VLAN.
name                     Configure an optional VLAN Name.
no                       Negate a command or set its defaults
private-vlan             Configure a VLAN as a private VLAN
remote-span              Configure the VLAN as RSPAN VLAN
show                     Show running system information
subvlan                  Add sub VLANs to the super VLAN
subvlan-address-range    Set the IP address range of a sub VLAN
supervlan                Set the VLAN as a super VLAN
 
Switch(config-vlan)#ip ?
 
igmp                     Enable/Disable IGMP Snooping.

@insect_87 · 22.12.2022, 16:25

да, значит нельзя

Новые блоги и статьи Все статьи Все блоги /
Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .
Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .	Фото: Daniel Greenwood kumehtar 13.11.2025	Расскажи мне о Мире, бродяга kumehtar 12.11.2025 — Расскажи мне о Мире, бродяга, Ты же видел моря и метели. Как сменялись короны и стяги, Как эпохи стрелою летели. - Этот мир — это крылья и горы, Снег и пламя, любовь и тревоги, И бескрайние. . .

Настройка ACL на DGS-3130

Решение

Решение

@insect_87 11438 / 7007 / 1903 Регистрация: 25.12.2012 Сообщений: 29,398
	21.12.2022, 09:43
	https://ftp.dlink.ru/pub/Switc... LI_RUS.pdf 0

@insect_87 11438 / 7007 / 1903 Регистрация: 25.12.2012 Сообщений: 29,398
	22.12.2022, 16:25
	да, значит нельзя 0