https://opennet.ru/openforum/vsluhforumID6/16075.html Добрый день,<br>у меня такая проблема, ADSL абоненты DSLAM МА5300<br>находятся в одном Vlan и выходят через Cisco 6506<br>на сервер авторизации BRAS. Хочу повесить на MA5300<br>ACL чтобы абоненты могли выходить только на мак адреса<br>этих устройств и внутри DSLAM друг друга не видели.<br><br>ACL на доступ к DSLAMу сделал, а как посесить абонентам<br>не разберусь если кто делал, напишите. заранее Спасибо.<br> <br> https://opennet.ru/openforum/vsluhforumID6/16075.html#9 Fri, 10 Jul 2009 05:10:46 GMT Ребята у меня Анологичная пролема на DSLAM-ах MA5105 и MA5605, изоляция портов не помогло..., <br>У меня тоже были мысли поднять DHCP но помогло ли вам оно ? опишитесь пожалуйста.<br> https://opennet.ru/openforum/vsluhforumID6/16075.html#8 Thu, 09 Jul 2009 12:38:58 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;Т.е изоляция портов действует когда Абоненты даже с одним VLAn сидят на <br>&gt;одном 5300, а когда такой же vlan есть и на соседнем <br>&gt;5300 ( в пределах маршрутизатора) сыпятся конфликты и доступны абоненты с <br>&gt;соседнего 5300. <br>&gt;<br>&gt;Потом нашли ещё выход на ADSL порту можно разрешить только определённое <br>&gt;ко-во маков <br>&gt;mac-address-table max-mac-count 1 adsl 1/0/0 to adsl 2/0/47 для диапазона или конкретно <br>&gt;для какого нибудь порта. <br><br>Спасибо за ответ. Особоенно насчёт mac-address-table - обязательно попробуем.<br>Насчёт разных VLAN-ов для каждого DSLAM-a - мы тоже по началу так решили, а потом решили на BRAS-e настроить функцию DHCP-сервера, чтоб модемы по DHCP получали адреса - таким образом хотим уйти от конфликтов с адресами.<br> https://opennet.ru/openforum/vsluhforumID6/16075.html#7 Thu, 09 Jul 2009 10:07:11 GMT <br>&gt;Чёт у меня не получилось с изоляцией портов. А ты как настроил? <br>&gt;Разобрался? <br><br>При проверке оказалось, что пользователи внутри 5300 действительно друг друга не видят, даже если абоненты сидят в одном vlane. Выяснили, что если два или более 5300 находятся с одним и тем же vlan-ом авторизации в пределах одного маршрутизатора то вот тогда и начинаются конфликты и абоненты видят друг друга. Проблему решили так, Посадили Все 5300 в разные vlan.<br><br>Т.е изоляция портов действует когда Абоненты даже с одним VLAn сидят на одном 5300, а когда такой же vlan есть и на соседнем 5300 ( в пределах маршрутизатора) сыпятся конфликты и доступны абоненты с соседнего 5300.<br><br>Потом нашли ещё выход на ADSL порту можно разрешить только определённое ко-во маков<br>mac-address-table max-mac-count 1 adsl 1/0/0 to adsl 2/0/47 для диапазона или конкретно для какого нибудь порта.<br> https://opennet.ru/openforum/vsluhforumID6/16075.html#6 Thu, 09 Jul 2009 05:32:59 GMT &gt;[оверквотинг удален]<br>&gt;&gt; Если вы его сконфигурили правильно, а изоляции всё равно нет, <br>&gt;&gt;то тут только к производителю. MA5300 понятие очень широкое, по железу,софту,патчам... <br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt; Если у кого-то другого юзеры друг-друга не видят в пределах <br>&gt;&gt;одного Huawei MA5300 и даже в пределах одного vlan на нем, <br>&gt;&gt;то не факт что так должно быть и на вашем железе <br>&gt;&gt; без "напильника" от самого производителя. <br>&gt;<br>&gt;Понятно, буду разбираться, если разберусь напишу. <br><br>Чёт у меня не получилось с изоляцией портов. А ты как настроил? Разобрался?<br> https://opennet.ru/openforum/vsluhforumID6/16075.html#5 Thu, 24 Apr 2008 07:51:29 GMT &gt;[оверквотинг удален]<br>&gt;&gt;т.д) также могут сканировать этот vlan и заходить на другие ПК. <br>&gt;<br>&gt; Если вы его сконфигурили правильно, а изоляции всё равно нет, <br>&gt;то тут только к производителю. MA5300 понятие очень широкое, по железу,софту,патчам... <br>&gt;<br>&gt;<br>&gt; Если у кого-то другого юзеры друг-друга не видят в пределах <br>&gt;одного Huawei MA5300 и даже в пределах одного vlan на нем, <br>&gt;то не факт что так должно быть и на вашем железе <br>&gt; без "напильника" от самого производителя. <br><br>Понятно, буду разбираться, если разберусь напишу. <br><br> https://opennet.ru/openforum/vsluhforumID6/16075.html#4 Wed, 23 Apr 2008 17:07:12 GMT &gt;<br>&gt; Если у кого-то другого юзеры друг-друга не видят в пределах <br>&gt;одного Huawei MA5300 и даже в пределах одного vlan на нем, <br>&gt;то не факт что так должно быть и на вашем железе <br>&gt; без "напильника" от самого производителя. <br><br>ACL по МАКам - это не верный путь.<br> Правильный путь - "изоляция портов" в хуавеевской терминологии (или "switchport protected" в цисковской терминологии).<br><br> https://opennet.ru/openforum/vsluhforumID6/16075.html#3 Wed, 23 Apr 2008 16:21:48 GMT &gt;&gt;Юзеры друг-друга не видят в пределах одного Huawei MA5300, <br>&gt;&gt;что-то у вас не то, либо в конфиге самого дслама, либо в <br>&gt;&gt;этот vlan <br>&gt;&gt;ещё что-то в другом месте незаизолированно втыкнуто. <br>&gt;<br>&gt;... т.к находятся в одном vlan сыплются <br>&gt;конфликты ip адресов (ip-шники то все стандартные ставят 2,3,4, ... и <br>&gt;т.д) также могут сканировать этот vlan и заходить на другие ПК. <br><br> Если вы его сконфигурили правильно, а изоляции всё равно нет, то тут только к производителю. MA5300 понятие очень широкое, по железу,софту,патчам...<br><br> Если у кого-то другого юзеры друг-друга не видят в пределах одного Huawei MA5300 и даже в пределах одного vlan на нем, то не факт что так должно быть и на вашем железе без "напильника" от самого производителя.<br> https://opennet.ru/openforum/vsluhforumID6/16075.html#2 Wed, 23 Apr 2008 15:47:18 GMT <br>&gt;С ACL на МАК адреса я бы не стал связываться. <br>&gt;<br>&gt;На MA5300 стоит прописать MAC static БРАСа. <br>&gt;<br>&gt;Юзеры друг-друга не видят в пределах одного Huawei MA5300, <br>&gt;что-то у вас не то, либо в конфиге самого дслама, либо в <br>&gt;этот vlan <br>&gt;ещё что-то в другом месте незаизолированно втыкнуто. <br><br>Спасибо, что ответили, у меня задача как раз в том, чтобы пользователи из одного vlan<br>к примеру 930 vlan авторизации находящиеся на одном дсламе друг друга не видели. Но могли выходить на cisco 6506 и брас. Сейчас ситуация как раз такая, что они могут авторизоваться на брасе, а когда не авторизованы , т.к находятся в одном vlan сыплются конфликты ip адресов (ip-шники то все стандартные ставят 2,3,4, ... и т.д) также могут сканировать этот vlan и заходить на другие ПК. К примеру на 5600 создал, acl, все в нём<br>запретил, для 930 vlana и разрешил по мак- адресам выходить только на cisco 6506 и брас,<br>если поняли проблему подскажите как, сделать такой acl на 5300, сам разобраться не могу.<br>заранее спасибо, а проводить э https://opennet.ru/openforum/vsluhforumID6/16075.html#1 Wed, 23 Apr 2008 10:11:05 GMT &gt;Добрый день, <br>&gt;у меня такая проблема, ADSL абоненты DSLAM МА5300 <br>&gt;находятся в одном Vlan и выходят через Cisco 6506 <br>&gt;на сервер авторизации BRAS. Хочу повесить на MA5300 <br>&gt;ACL чтобы абоненты могли выходить только на мак адреса <br>&gt;этих устройств и внутри DSLAM друг друга не видели. <br>&gt;<br>&gt;ACL на доступ к DSLAMу сделал, а как посесить абонентам <br>&gt;не разберусь если кто делал, напишите. заранее Спасибо. <br>&gt;<br><br>С ACL на МАК адреса я бы не стал связываться.<br><br>На MA5300 стоит прописать MAC static БРАСа.<br><br>Юзеры друг-друга не видят в пределах одного Huawei MA5300,<br>что-то у вас не то, либо в конфиге самого дслама, либо в этот vlan<br>ещё что-то в другом месте незаизолированно втыкнуто.<br><br><br>