(!) Не работает разделение между VLAN на коммутаторах ZyXEL L3

Я создал несколько VLAN на коммутаторе ES-4124, но при этом компьютеры из разных VLAN видят друг друга. В чем может быть причина?


Причина заключается в том, что разделение VLAN не работает во всех коммутаторах ZyXEL третьего уровня (L3) с поддержкой маршрутизации VLAN. По умолчанию InterVLAN Routing включен на этих коммутаторах. Если вы не хотите, чтобы маршрутизация производилась между VLAN, вы можете не назначать IP-адрес коммутатору в этих VLAN. В этом случае обработка трафика внутри коммутатора будет производиться по стандартным правилам передачи тегированного трафика.
Также вы можете запретить соединение между двумя VLAN на коммутаторах ZyXEL третьего уровня воспользовавшись функцией задания списков контроля доступа (ACL) для фильтрации трафика. Ниже приведем пример.

Допустим, нужно блокировать трафик между VLAN2 и VLAN3, в каждом из которых имеется свой IP-интерфейс. Необходимо настроить 2 vlan'а, в которых назначены IP-интерфейсы и создать ACL без привязки к портам. В этом случае, фильтр удобно построить на IP-адресах источника и назначения.

; Product Name = GS-4012F
; Firmware Version = V3.80(TS.2) | 05/05/2008
; SysConf Engine Version = 1.1
vlan 1
name 1
normal ""
fixed 1,4-12
forbidden 2-3
untagged 1-12
ip address 192.168.1.1 255.255.255.0
exit
vlan 2
name vlan2
normal ""
fixed 2
forbidden 1,3-12
untagged 1-12
ip address 192.168.2.1 255.255.255.0
exit
vlan 3
name vlan3
normal ""
fixed 3
forbidden 1-2,4-12
untagged 1-12
ip address 192.168.3.1 255.255.255.0
exit
interface route-domain 192.168.1.1/24
exit
interface route-domain 192.168.2.1/24
exit
interface route-domain 192.168.3.1/24
exit
ip address 192.168.0.1 255.255.255.0
classifier 2-3 ethernet-type ip source-ip 192.168.2.0 mask-bits 24 destination-ip 192.168.3.0 mask-bits 24
classifier 3-2 ethernet-type ip source-ip 192.168.3.0 mask-bits 24 destination-ip 192.168.2.0 mask-bits 24
policy ip_drop classifier 2-3,3-2 vlan 1 egress-port 1 priority 0 dscp 0 tos 0 bandwidth 0 outgoing-packet-format tagged out-of-profile-dscp 0 forward-action drop

KB-1565

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0