Возможно ли на это железке source based routing?
Эта железяка шлюз по умолчанию для всех в локальной сети
ip условно 192.168.1.254
настроено пара port-based вланов (192.168.1.0/24, 192.168.10.0/24, 192.168.20.0/24)
все роутит этот коммутатор
маршрут для 0.0.0.0 на 192.168.1.1
к порту 1 подключены через другой коммутатор два шлюза 192.168.1.1 и 192.168.1.2
нужно, что бы все что исходит от 192.168.10.0/24 роутить по умолчанию на 192.168.1.1, а что исходит от 192.168.20.0/24 роутить на 192.168.1.2
Такое реально?
ОФФ что бы не плодить тем:
И Возможно ли и на AR770S подобное - указать для 2х разных подсетей разные дефлотные шлюзы?
В качестве исходящего интерфейса используется eth0
eth1 задействован в тоннеле с другим AR (в итоге приходит подсеть 192.168.100/24) - все что идет оттуда должно в итоге роутится на шлюз 192.168.1.254 int=eth0
порты коммутатора по умолчанию vlan1 подсеть 192.168.50.0/24 и все что идет из из этой подсети должно роутится на 192.168.1.253
Смотр мануалы и не нахожу искомого (((
Спасибо!
AT-x510L-52GT routing
Модератор: Allied Telesis Russia
Сообщений: 17
• Страница 1 из 2 • 1, 2
AT-x510L-52GT routing
NoIZz » 20 окт 2016, 20:25
- NoIZz
- Сообщения: 63
- Зарегистрирован: 15 сен 2009, 22:34
- Ginodman Mikhail
- Site Admin
- Сообщения: 2509
- Зарегистрирован: 29 янв 2008, 14:32
- Откуда: AlliedTelesis Moscow
Re: AT-x510L-52GT routing
NoIZz » 21 окт 2016, 12:15
Михаил, спасибо, обнадежили )))
Но Policy Based Routing разжевать нахрапом пока не получается
Пойду дальше курить мануалы или посоветуйте какой именно посмотреть
+ еще возник вопрос с access-list
не работают как я ожидал (((((
очень хотелось бы помощи от ВАС ))))
Но Policy Based Routing разжевать нахрапом пока не получается
Пойду дальше курить мануалы или посоветуйте какой именно посмотреть
+ еще возник вопрос с access-list
не работают как я ожидал (((((
очень хотелось бы помощи от ВАС ))))
Последний раз редактировалось NoIZz 21 окт 2016, 12:43, всего редактировалось 2 раз(а).
- NoIZz
- Сообщения: 63
- Зарегистрирован: 15 сен 2009, 22:34
Re: AT-x510L-52GT routing
Ginodman Mikhail » 21 окт 2016, 12:31
NoIZz писал(а):Михаил, спасибо, обнадежили )))
Но Policy Based Routing разжевать нахрапом пока не получается
+ еще возник вопрос с access-list
не работают как я ожидал (((((
очень хотелось бы помощи от ВАС ))))
http://www.alliedtelesis.com/sites/defa ... g_revb.pdf
http://www.alliedtelesis.com/sites/defa ... tering.pdf
- Ginodman Mikhail
- Site Admin
- Сообщения: 2509
- Зарегистрирован: 29 янв 2008, 14:32
- Откуда: AlliedTelesis Moscow
Re: AT-x510L-52GT routing
NoIZz » 21 окт 2016, 12:44
Спасибо, почитаю
по аксцесс-лист
510L-GT (192.168.1.254)] port 1.0.37 <---> eth0 192.168.1.2 [AR770S] vlan1 192.168.50.1 ports1-4 <-----> подсеть 192.168.50.0
на 510м add ip rou 192.168.50.0/24 192.168.1.2
с 50й подсетью все бегает
из 1й подсети подключаюсь к 50й к любому хосту
в обратном направлении то же
нужен запрет для 50й на подключение к хостам в 1й/итп подсетях (192.168.x.x итп)
на 510м
ena
conf t
access-list hardware block-50-to-local
deny ip 192.168.50.0/24 192.168.0.0/16
deny ip 192.168.50.0/24 172.16.0.0/16
int port1.0.37
access-group block-50-to-local
и начинается веселье
с 50й к этим подсетям подключаться не могу - ОК
но! из 1й подсети недоступны многие хосты в 50й
как понять, почему?
по аксцесс-лист
510L-GT (192.168.1.254)] port 1.0.37 <---> eth0 192.168.1.2 [AR770S] vlan1 192.168.50.1 ports1-4 <-----> подсеть 192.168.50.0
на 510м add ip rou 192.168.50.0/24 192.168.1.2
с 50й подсетью все бегает
из 1й подсети подключаюсь к 50й к любому хосту
в обратном направлении то же
нужен запрет для 50й на подключение к хостам в 1й/итп подсетях (192.168.x.x итп)
на 510м
ena
conf t
access-list hardware block-50-to-local
deny ip 192.168.50.0/24 192.168.0.0/16
deny ip 192.168.50.0/24 172.16.0.0/16
int port1.0.37
access-group block-50-to-local
и начинается веселье
с 50й к этим подсетям подключаться не могу - ОК
но! из 1й подсети недоступны многие хосты в 50й
как понять, почему?
- NoIZz
- Сообщения: 63
- Зарегистрирован: 15 сен 2009, 22:34
Re: AT-x510L-52GT routing
Ginodman Mikhail » 21 окт 2016, 12:53
NoIZz писал(а):Спасибо, почитаю
по аксцесс-лист
510L-GT (192.168.1.254)] port 1.0.37 <---> eth0 192.168.1.2 [AR770S] vlan1 192.168.50.1 ports1-4 <-----> подсеть 192.168.50.0
на 510м add ip rou 192.168.50.0/24 192.168.1.2
с 50й подсетью все бегает
из 1й подсети подключаюсь к 50й к любому хосту
в обратном направлении то же
нужен запрет для 50й на подключение к хостам в 1й/итп подсетях (192.168.x.x итп)
на 510м
ena
conf t
access-list hardware block-50-to-local
deny ip 192.168.50.0/24 192.168.0.0/16
deny ip 192.168.50.0/24 172.16.0.0/16
int port1.0.37
access-group block-50-to-local
и начинается веселье
с 50й к этим подсетям подключаться не могу - ОК
но! из 1й подсети недоступны многие хосты в 50й
как понять, почему?
а как они будут доступны если есть такое правило deny ip 192.168.50.0/24 192.168.0.0/16? из 192.168.1.0 пакеты уходят на 192.168.50.0, но ответы будут отфильтрованы
- Ginodman Mikhail
- Site Admin
- Сообщения: 2509
- Зарегистрирован: 29 янв 2008, 14:32
- Откуда: AlliedTelesis Moscow
Re: AT-x510L-52GT routing
NoIZz » 21 окт 2016, 12:55
почему тогда от некоторых отфильтровываются а от некоторых нет?
вот что странно
как мне разрешить ответы и разрешить подключаться из 1й к 50й, но запретить из 50й любые подключения к 1й?
что-то никак не пойму принцип
вот что странно
как мне разрешить ответы и разрешить подключаться из 1й к 50й, но запретить из 50й любые подключения к 1й?
что-то никак не пойму принцип
- NoIZz
- Сообщения: 63
- Зарегистрирован: 15 сен 2009, 22:34
Re: AT-x510L-52GT routing
Ginodman Mikhail » 21 окт 2016, 13:12
NoIZz писал(а):почему тогда от некоторых отфильтровываются а от некоторых нет?
вот что странно
как мне разрешить ответы и разрешить подключаться из 1й к 50й, но запретить из 50й любые подключения к 1й?
что-то никак не пойму принцип
в документе по аппаратным фильтрам см Blocking TCP sessions in one direction.
вообще у вас на маршрутизаторе есть Firewall и можно там все ограничить доступ с public на private интерфесы закрыт по-умолчанию, а обратно наоборот открыт
- Ginodman Mikhail
- Site Admin
- Сообщения: 2509
- Зарегистрирован: 29 янв 2008, 14:32
- Откуда: AlliedTelesis Moscow
Re: AT-x510L-52GT routing
NoIZz » 21 окт 2016, 13:19
спасибо за наводку
на ar все интерфейсы в private стоят
на ar позволяет ограничивать прохождение пакетов между интерфейсами private?
на ar все интерфейсы в private стоят
на ar позволяет ограничивать прохождение пакетов между интерфейсами private?
- NoIZz
- Сообщения: 63
- Зарегистрирован: 15 сен 2009, 22:34
Re: AT-x510L-52GT routing
Ginodman Mikhail » 21 окт 2016, 13:20
NoIZz писал(а):спасибо за наводку
на ar все интерфейсы в private стоят
на ar позволяет ограничивать прохождение пакетов между интерфейсами private?
между private ничего не ограничено
- Ginodman Mikhail
- Site Admin
- Сообщения: 2509
- Зарегистрирован: 29 янв 2008, 14:32
- Откуда: AlliedTelesis Moscow
Re: AT-x510L-52GT routing
NoIZz » 21 окт 2016, 13:56
и ограничить нельзя?
Сейчас eth1 и eth0 сделал lan
vlan1 сделал wan
мне нужно пропустить из vlan1 в eth0 траф dns, но он что-то как-то не того
Сейчас eth1 и eth0 сделал lan
vlan1 сделал wan
мне нужно пропустить из vlan1 в eth0 траф dns, но он что-то как-то не того
Последний раз редактировалось NoIZz 21 окт 2016, 14:44, всего редактировалось 1 раз.
- NoIZz
- Сообщения: 63
- Зарегистрирован: 15 сен 2009, 22:34
Re: AT-x510L-52GT routing
Ginodman Mikhail » 21 окт 2016, 14:21
NoIZz писал(а):и ограничить нельзя?
это специально так в логике работы фаервола
http://www.alliedtelesis.com/sites/defa ... _rules.pdf
- Ginodman Mikhail
- Site Admin
- Сообщения: 2509
- Зарегистрирован: 29 янв 2008, 14:32
- Откуда: AlliedTelesis Moscow
Re: AT-x510L-52GT routing
NoIZz » 21 окт 2016, 15:09
Ginodman Mikhail писал(а):NoIZz писал(а):Михаил, спасибо, обнадежили )))
Но Policy Based Routing разжевать нахрапом пока не получается
+ еще возник вопрос с access-list
не работают как я ожидал (((((
очень хотелось бы помощи от ВАС ))))
http://www.alliedtelesis.com/sites/defa ... g_revb.pdf
http://www.alliedtelesis.com/sites/defa ... tering.pdf
howto_config_policybased_routing_revb.pdf
Which products and software version does it apply to?
This How To Note applies to the following Allied Telesis managed Layer 3 switches:
x900, x600, and x610 series switches
SwitchBlade x908 switches
This configuration applies to switches running Software Version 5.3.1 or later.
510L нет в списке или на него это то же распостраняется?
- NoIZz
- Сообщения: 63
- Зарегистрирован: 15 сен 2009, 22:34
Re: AT-x510L-52GT routing
Ginodman Mikhail » 21 окт 2016, 15:42
NoIZz писал(а):Ginodman Mikhail писал(а):NoIZz писал(а):Михаил, спасибо, обнадежили )))
Но Policy Based Routing разжевать нахрапом пока не получается
+ еще возник вопрос с access-list
не работают как я ожидал (((((
очень хотелось бы помощи от ВАС ))))
http://www.alliedtelesis.com/sites/defa ... g_revb.pdf
http://www.alliedtelesis.com/sites/defa ... tering.pdf
howto_config_policybased_routing_revb.pdf
Which products and software version does it apply to?
This How To Note applies to the following Allied Telesis managed Layer 3 switches:
x900, x600, and x610 series switches
SwitchBlade x908 switches
This configuration applies to switches running Software Version 5.3.1 or later.
510L нет в списке или на него это то же распостраняется?
Откройте мануал по CLI для х510
- Ginodman Mikhail
- Site Admin
- Сообщения: 2509
- Зарегистрирован: 29 янв 2008, 14:32
- Откуда: AlliedTelesis Moscow
Re: AT-x510L-52GT routing
NoIZz » 21 окт 2016, 15:55
Пошел читать мануалы
Спасибо
Я так понимаю, что можно использовать и hardware access-list ?
Спасибо
Я так понимаю, что можно использовать и hardware access-list ?
- NoIZz
- Сообщения: 63
- Зарегистрирован: 15 сен 2009, 22:34
Сообщений: 17
• Страница 1 из 2 • 1, 2
Вернуться в Коммутаторы 3го уровня
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 3