форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"ACL на  HUAWEI SmartAX MA5300"		+/–
Сообщение от sett (ok) on 19-Апр-08, 16:20
Добрый день, у меня такая проблема,  ADSL абоненты DSLAM МА5300 находятся в одном Vlan и выходят через Cisco 6506 на сервер авторизации BRAS. Хочу повесить на MA5300 ACL чтобы абоненты могли выходить только на мак адреса этих устройств и внутри DSLAM друг друга не видели. ACL на доступ к DSLAMу сделал, а как посесить абонентам не разберусь если кто делал, напишите. заранее Спасибо.
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "ACL на  HUAWEI SmartAX MA5300"		+/–
Сообщение от cant on 23-Апр-08, 14:11
>Добрый день, >у меня такая проблема,  ADSL абоненты DSLAM МА5300 >находятся в одном Vlan и выходят через Cisco 6506 >на сервер авторизации BRAS. Хочу повесить на MA5300 >ACL чтобы абоненты могли выходить только на мак адреса >этих устройств и внутри DSLAM друг друга не видели. > >ACL на доступ к DSLAMу сделал, а как посесить абонентам >не разберусь если кто делал, напишите. заранее Спасибо. > С ACL на МАК адреса я бы не стал связываться. На MA5300 стоит прописать MAC static БРАСа. Юзеры друг-друга не видят в пределах одного Huawei MA5300, что-то у вас не то, либо в конфиге самого дслама, либо в этот vlan ещё что-то в другом месте незаизолированно втыкнуто.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "ACL на  HUAWEI SmartAX MA5300"		+/–
	Сообщение от sett (??) on 23-Апр-08, 19:47
	>С ACL на МАК адреса я бы не стал связываться. > >На MA5300 стоит прописать MAC static БРАСа. > >Юзеры друг-друга не видят в пределах одного Huawei MA5300, >что-то у вас не то, либо в конфиге самого дслама, либо в >этот vlan >ещё что-то в другом месте незаизолированно втыкнуто. Спасибо, что ответили, у меня задача как раз в том, чтобы пользователи из одного vlan к примеру 930 vlan авторизации  находящиеся на одном дсламе друг друга не видели. Но могли выходить на  cisco 6506 и брас. Сейчас ситуация как раз такая, что они могут авторизоваться на брасе, а когда не авторизованы , т.к находятся в одном vlan сыплются конфликты ip адресов (ip-шники то все стандартные ставят 2,3,4, ... и т.д) также могут сканировать этот vlan и заходить на другие ПК. К примеру на 5600 создал, acl, все в нём запретил, для 930 vlana и разрешил по мак- адресам выходить только на cisco 6506 и брас, если поняли проблему подскажите как, сделать такой acl на 5300, сам разобраться не могу. заранее спасибо, а проводить эксперименты на рабочем оборудовании сами понимаете...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "ACL на  HUAWEI SmartAX MA5300"		+/–
	Сообщение от cant on 23-Апр-08, 20:21
	>>Юзеры друг-друга не видят в пределах одного Huawei MA5300, >>что-то у вас не то, либо в конфиге самого дслама, либо в >>этот vlan >>ещё что-то в другом месте незаизолированно втыкнуто. > >... т.к находятся в одном vlan сыплются >конфликты ip адресов (ip-шники то все стандартные ставят 2,3,4, ... и >т.д) также могут сканировать этот vlan и заходить на другие ПК.   Если вы его сконфигурили правильно, а изоляции всё равно нет, то тут только к производителю. MA5300 понятие очень широкое, по железу,софту,патчам...   Если у кого-то другого юзеры друг-друга не видят в пределах одного Huawei MA5300 и даже в пределах одного vlan на нем, то не факт что так должно быть и на вашем железе  без "напильника" от самого производителя.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "ACL на  HUAWEI SmartAX MA5300"		+/–
	Сообщение от cant on 23-Апр-08, 21:07
	> >  Если у кого-то другого юзеры друг-друга не видят в пределах >одного Huawei MA5300 и даже в пределах одного vlan на нем, >то не факт что так должно быть и на вашем железе > без "напильника" от самого производителя. ACL по МАКам - это не верный путь.   Правильный путь - "изоляция портов" в хуавеевской терминологии (или "switchport protected" в цисковской терминологии).
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "ACL на  HUAWEI SmartAX MA5300"		+/–
	Сообщение от sett (??) on 24-Апр-08, 11:51
	>[оверквотинг удален] >>т.д) также могут сканировать этот vlan и заходить на другие ПК. > >  Если вы его сконфигурили правильно, а изоляции всё равно нет, >то тут только к производителю. MA5300 понятие очень широкое, по железу,софту,патчам... > > >  Если у кого-то другого юзеры друг-друга не видят в пределах >одного Huawei MA5300 и даже в пределах одного vlan на нем, >то не факт что так должно быть и на вашем железе > без "напильника" от самого производителя. Понятно, буду разбираться, если разберусь напишу.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "ACL на  HUAWEI SmartAX MA5300"		+/–
	Сообщение от Regnalos (??) on 09-Июл-09, 09:32
	>[оверквотинг удален] >>  Если вы его сконфигурили правильно, а изоляции всё равно нет, >>то тут только к производителю. MA5300 понятие очень широкое, по железу,софту,патчам... >> >> >>  Если у кого-то другого юзеры друг-друга не видят в пределах >>одного Huawei MA5300 и даже в пределах одного vlan на нем, >>то не факт что так должно быть и на вашем железе >> без "напильника" от самого производителя. > >Понятно, буду разбираться, если разберусь напишу. Чёт у меня не получилось с изоляцией портов. А ты как настроил? Разобрался?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "ACL на  HUAWEI SmartAX MA5300"		+/–
	Сообщение от set7788 on 09-Июл-09, 14:07
	>Чёт у меня не получилось с изоляцией портов. А ты как настроил? >Разобрался? При проверке оказалось, что пользователи внутри 5300 действительно друг друга не видят, даже если абоненты сидят в одном vlane. Выяснили, что если два или более 5300 находятся с одним и тем же vlan-ом авторизации в пределах одного маршрутизатора то вот тогда и начинаются конфликты и абоненты видят друг друга. Проблему решили так, Посадили Все 5300 в разные vlan. Т.е изоляция портов действует когда Абоненты даже с одним VLAn сидят на одном 5300, а когда такой же vlan есть и на соседнем 5300 ( в пределах маршрутизатора) сыпятся конфликты и доступны абоненты с соседнего 5300. Потом нашли ещё выход  на ADSL порту можно разрешить только определённое ко-во маков mac-address-table max-mac-count 1 adsl 1/0/0 to adsl 2/0/47 для диапазона или конкретно для какого нибудь порта.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "ACL на  HUAWEI SmartAX MA5300"		+/–
	Сообщение от Regnalos (??) on 09-Июл-09, 16:38
	>[оверквотинг удален] > >Т.е изоляция портов действует когда Абоненты даже с одним VLAn сидят на >одном 5300, а когда такой же vlan есть и на соседнем >5300 ( в пределах маршрутизатора) сыпятся конфликты и доступны абоненты с >соседнего 5300. > >Потом нашли ещё выход  на ADSL порту можно разрешить только определённое >ко-во маков >mac-address-table max-mac-count 1 adsl 1/0/0 to adsl 2/0/47 для диапазона или конкретно >для какого нибудь порта. Спасибо за ответ. Особоенно насчёт mac-address-table - обязательно попробуем. Насчёт разных VLAN-ов для каждого DSLAM-a - мы тоже по началу так решили, а потом решили на BRAS-e настроить функцию DHCP-сервера, чтоб модемы по DHCP получали адреса - таким образом хотим уйти от конфликтов с адресами.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "ACL на  HUAWEI SmartAX MA5300"		+/–
	Сообщение от Shavkat on 10-Июл-09, 09:10
	Ребята у меня Анологичная пролема на DSLAM-ах MA5105 и MA5605, изоляция портов не помогло..., У меня тоже были мысли поднять DHCP но помогло ли вам оно ? опишитесь пожалуйста.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема