https://slinkov.ru/openforum/vsluhforumID6/438.html Имеется в наличии железка Alcatel Lucent 6850-40.<br>Есть три подсети 10.0.80.0(VID1), 10.0.81.0(VID2) и 10.0.127.0(VID3)<br>Имеется шлюз с файрволом на фряхе 10.0.80.253<br>Пока на интерфейсах вланов включен forward все работает, инет раздается. Но вланы видят друг друга и толку от них никакого.<br>Как только его выключаем естественно связь обрывается. <br>Не понимаю как и где настраивается таблица маршрутизации?<br>Нужно ли для этого создавать правила в policy rule или все придется на файерволе прописывать?<br>Подскажите в каком направлении копать, мануалы есть, но не совсем понимаю логику.<br> https://slinkov.ru/openforum/vsluhforumID6/438.html#16 Fri, 30 Aug 2013 10:35:45 GMT &gt; Помогите пожалуйста с проблемой.<br>&gt; Есть ли возможность присвоить VLAN определенной подсети? Например, чтобы все пакеты с <br>&gt; адресом назначения из подсети 192.168.0.0/24 присваивались VLAN 101.<br><br>Что значит присваивались?<br>У VLAN-а уже есть свой адрес(интерфейс), который ты назначили при его создании.<br>Все остальные манипуляции с подсетями это маршрутизация.<br>Или я не правильно понял суть вопроса?<br> https://slinkov.ru/openforum/vsluhforumID6/438.html#15 Thu, 29 Aug 2013 12:16:04 GMT Помогите пожалуйста с проблемой.<br>Есть ли возможность присвоить VLAN определенной подсети? Например, чтобы все пакеты с адресом назначения из подсети 192.168.0.0/24 присваивались VLAN 101. Все для того, чтобы в одном коммутаторе связать подразделения работающие по L2 и по L3.<br><br> https://slinkov.ru/openforum/vsluhforumID6/438.html#14 Sun, 13 Jan 2013 17:46:07 GMT &gt; VLAN-ы созданы на Alcatel-е и созданы на фряхе. На Alcatele на интерфейсах <br>&gt; надо forward отключать?<br><br>Параметр "forward" полностью запрещает доступ к интерфейсу(на Alcatel-e) на аппаратном уровне? Тогда логично установить его в "on" и далее управлять доступом средствами файервола шлюза(в данном случае фряхи). Я правильно рассуждаю? Ответа в документации я не нашел. Там только написано что он явно открывает или закрывает форвардинг на данном интерфейсе. А что именно это значит в данном случае я не понял! Может кто работал с таким оборудованием. Могу процитировать доку если надо, может я что не так понял.<br> https://slinkov.ru/openforum/vsluhforumID6/438.html#13 Fri, 11 Jan 2013 12:18:31 GMT &gt;[оверквотинг удален]<br>&gt; Если Алькатель у вас L3 коммутатор и на нем "приземлены" VLAN-ы - <br>&gt; то там и надо ACL-ы настраивать, а если он чисто L2 <br>&gt; функцию выполняет - то ACL надо на фре крутить, но если <br>&gt; вам надо запретить трафик между подсетями внутренними - то нет смысла <br>&gt; вообще за3действовать L3 функционал алькателя, т.к. весь трафик все равно уйдет <br>&gt; на шлюз...<br>&gt; Так или иначе точка отказа у вас все равно одна (фря) и <br>&gt; зачем городить в таком случае лишний уровень в виде L3 свича <br>&gt; с ACL-ами не совсем понятно, но не невозможно <br>&gt; Как-то так получается.<br><br>VLAN-ы созданы на Alcatel-е и созданы на фряхе. На Alcatele на интерфейсах надо forward отключать? <br> https://slinkov.ru/openforum/vsluhforumID6/438.html#12 Fri, 11 Jan 2013 10:26:53 GMT &gt; Я ошибочно полагал что сей девайс является маршрутизатором, в связи с чем <br>&gt; и возникло сие недоразумение. Придется доделывать существующую схему <br><br>Опишите полную схему!<br>Куда интерфейсы с VLAN-ами "прикручены" (на какой железке)???<br><br>Если Алькатель у вас L3 коммутатор и на нем "приземлены" VLAN-ы - то там и надо ACL-ы настраивать, а если он чисто L2 функцию выполняет - то ACL надо на фре крутить, но если вам надо запретить трафик между подсетями внутренними - то нет смысла вообще за3действовать L3 функционал алькателя, т.к. весь трафик все равно уйдет на шлюз...<br><br>Так или иначе точка отказа у вас все равно одна (фря) и зачем городить в таком случае лишний уровень в виде L3 свича с ACL-ами не совсем понятно, но не невозможно<br><br>Как-то так получается.<br><br><br><br> https://slinkov.ru/openforum/vsluhforumID6/438.html#11 Fri, 11 Jan 2013 09:08:50 GMT Я ошибочно полагал что сей девайс является маршрутизатором, в связи с чем и возникло сие недоразумение. Придется доделывать существующую схему<br> <br><br><br> https://slinkov.ru/openforum/vsluhforumID6/438.html#10 Fri, 11 Jan 2013 08:57:57 GMT &gt; 1. разбритесь с терминологией! То что вы упорно называете коммутатор маршрутизатором говорит <br>&gt; о весьма поверхностном представлении о задачах как первого, так и второго <br>&gt; (или же вы чего-то не договариваете).<br>&gt; 2. приведенные выше правила какраз блокируют доступ из vlan1 в vkan-ы 2 <br>&gt; и 3, по аналогии можно составить правила для блокировки трафика между <br>&gt; остальными интерфейсами.<br><br>В общем я не понимаю зачем при такой железке использовать программный маршрутизатор.<br>На данный момент на фряхе три интерфейса: два провайдера и один внутренний. Она же и почтовик и шлюз и файервол. Я хочу, чтобы она выполняла функции только файервола, а маршрутизация осуществлялась посредством Alcatel. Соответственно возникает вопрос, как мне прописать в алкателе правила для вланов. <br><br><br><br> https://slinkov.ru/openforum/vsluhforumID6/438.html#9 Fri, 11 Jan 2013 06:53:49 GMT &gt;[оверквотинг удален]<br>&gt; интерфейс с вланами.<br>&gt; Маршрутизатор это и есть мой Alcatel. На нем уже физические вланы.<br>&gt; Эта конфигурация до меня была. То есть каждому интерфейсу на Alcatele соответствует <br>&gt; виртуальный интерфейс на шлюзе через которые вланы в интернет смотрят. Я <br>&gt; вот чего не могу понять, мне маршруты между вланами прописывать и <br>&gt; открывать закрывать доступ на фряхе надо через файервол или можно как <br>&gt; то физически это реализовать. И режим интерфейса forward на алкателе для <br>&gt; чего нужен вообще? Если я его активирую все работает во все <br>&gt; стороны, в какие только можно: все вланы между собой общаются. Как <br>&gt; мне их изолировать?<br><br>1. разбритесь с терминологией! То что вы упорно называете коммутатор маршрутизатором говорит о весьма поверхностном представлении о задачах как первого, так и второго (или же вы чего-то не договариваете).<br>2. приведенные выше правила какраз блокируют доступ из vlan1 в vkan-ы 2 и 3, по аналогии можно составить правила для блокировки трафика между остальными и https://slinkov.ru/openforum/vsluhforumID6/438.html#8 Thu, 10 Jan 2013 14:15:06 GMT &gt; "шлюз" и "маршрутизатор" это у вас одно и то же или нет? <br><br>шлюз это физическая машина из подсети 10.0.80.0(тобишь VID1). На нем настроен виртуальный интерфейс с вланами. <br>Маршрутизатор это и есть мой Alcatel. На нем уже физические вланы. <br>Эта конфигурация до меня была. То есть каждому интерфейсу на Alcatele соответствует виртуальный интерфейс на шлюзе через которые вланы в интернет смотрят. Я вот чего не могу понять, мне маршруты между вланами прописывать и открывать закрывать доступ на фряхе надо через файервол или можно как то физически это реализовать. И режим интерфейса forward на алкателе для чего нужен вообще? Если я его активирую все работает во все стороны, в какие только можно: все вланы между собой общаются. Как мне их изолировать? <br> <br><br><br>