В
а вообще возможно стэкировать esr200 и mes2348 и делегировать с 2348 порт5 для обслуживания firewall-ом esr200?
Size: a a a
2021 January 13
АУ
Вроде у элтекс стэкируются только одинаковые модели коммутаторов
В
хмм, а vlan в vlan можно подать?
В
или вот ещё мысль, сразу сделать vlan5 для 5го порта транзитным для 2348, а весь роутинг/firewall этого vlan5 сделать на esr200?
FF
Валентин
хмм, а vlan в vlan можно подать?
qinq?
В
я ищу решения задачи, пока только мысли вслух. Как бы вы решали такую задачу, имея в распоряжении только esr200 и mes2348? физически они в разных зданиях
VF
Так какая задача то изначально ?
не важно где стоят ESR и MES, задачи они выполняют разные же
не важно где стоят ESR и MES, задачи они выполняют разные же
В
На 5 порту eltex2348 есть подсеть 10.0.0.0/24 с неподконтрольными свитчами. Им разрешено подключаться к узлам 10.0.0.0/16 через eltex2348. Некоторые меняют ip-адреса, поэтому я хочу пропускать из-за 5го порта только src из 10.0.0.0/24. Как правильно это сделать? Обновил
VF
В
нужно оставить возможность подключаться к любым 10.0.0.0/16 в обе стороны. Как это в acl сказать, чтобы не запретить другим подключаться: за 5м портом есть только 10.0.0.0/24 и из-за 5го порта разрешены только src c 10.0.0.0/24?
VF
console(config-ip-al)# <action> <protocol> <any|IP_source wildcard_mask>
<any|IP_destination wildcard_mask> {dscp <dscp>} {log-input} {ace-priority <1-2147483647>}
Так прописываете разрешающее правило для source + destination подсетей
<any|IP_destination wildcard_mask> {dscp <dscp>} {log-input} {ace-priority <1-2147483647>}
Так прописываете разрешающее правило для source + destination подсетей
Р
Хм, меняют адреса на что? У вас свич поделён на аланы или у вас все в одной куче?
В
Это одна большая организация, где изначально всё в одной куче. Сервисы разбросаны повсюду, вланов нет.
Р
На пятый порт вешаете акцесом влан, на него вешаете интерфейс 10.0.0.1/24 или что там у вас. У все. С другими адресами оттуда не полезет.
Р
АCL бесполезен, если у вас сквозной транзит l2. Свич отслеживает только трафик между интерфейсами.
ВМ
Роман
АCL бесполезен, если у вас сквозной транзит l2. Свич отслеживает только трафик между интерфейсами.
Тут мне кажется вы неправы
НБ
Заход трафика во влан ацл обрабатывает.
Р
Там один влан на все. И транзит без захода на интерфейс. Правила можно повесить, но у него задача изолировать одну подсесть от другой. И это проще сделать разделением на вланы , а не городильней из ацл
f.
здрасти