Элтекс

Здравствуйте. Есть связка ESR-20 и WEP-2ac. На WEP-2ac настроены две VAP - Work (VLAN 1) и Guest (VLAN 150), подключена точка к физическому порту 4 ESR-20, интернет получает с порта 1 gigabitethernet 1/0/1 (dhcp клиент). На 4 порту настроены интефейсы gigabitethernet 1/0/4 (10.10.10.0/24) для Work и gigabitethernet 1/0/4.150 (10.10.14.0/24) для Guest со своими dhcp серверами. Так же включен порт 2 gigabitethernet 1/0/2 (10.10.11.0/24). Интернет с обеих VAP получаю, всё хорошо. Собственно вопрос - как для gigabitethernet 1/0/4.150 разрешить только интернет трафик, ну или запретить "ходить" в 1/0/2, 1/0/3, 1/0/4? Попробовал применить правило ACL для 1/0/4.150, но не применяет с ошибкой. Подскажите как решить, возможно вообще не по тому пути пошёл.
Что пробовал с примерами адаптированными для себя из учебника -

ACL нельзя повесить на сабинтерфейс. Сделайте с помощью зон, зону можно прикрепить к бриджу и далее повесить на интерфейс.

Garri писал(а):ACL нельзя повесить на сабинтерфейс. Сделайте с помощью зон, зону можно прикрепить к бриджу и далее повесить на интерфейс.

Это всё замечательно. Но можно ткнуть носом в пример? С этим оборудованием столкнулся впервые и настройка через CLI вызывает некоторый эмоциональный запор. Все ссылки поисковиков по нужным темам ведут на "базу знаний kcs.eltex.nsk.ru", канувшую в лету судя по всему. Единственные доступные материалы со страницы продукта - быстрый старт (удобно, но ограничено) и полный мануал с примерами содержащими устаревший судя по всему синтаксис команд, так как даже вдумчивая копипаста примеров приводит к ошибкам в консоли.
Вот что имею сейчас -

Как разрешить трафик между 1/0/4.150 с диапазоном 10.10.14.0/24 и 1/0/1 и не пускать из 1/0/4.150 в 1/0/4, 1/0/3, 1/0/2?

База знаний - https://docs.eltex-co.ru/display/EKB/El ... ledge+Base указана на сайте.
Настройка bridge для VLAN раздел 1.20.3 (там хорошие примеры настроек) - https://eltex-co.ru/upload/iblock/cd2/E ... _1.8.5.pdf смотрели?

Garri писал(а): смотрели?

В том числе...
Вот прям из примера результат, никакой отсебятины, о чём я уже говорил, в документации есть ошибки то "-" отсутствуют, то вот такие вещи.

А версия прошивки какая?

security-zone LAN1

Да тире лишнее.

Garri писал(а):А версия прошивки какая?

Boot version:
1.8.1.4 (date Sep 11 2019 time 09:52:47)
SW version:
1.8.1 build 4[ca384e8f] (date 11/09/2019 time 09:50:56)
HW version:
1v4
Обновить пока не смог так как ещё и утилита EMS сыплет ошибками таймаутов snmp при попытках прочитать конфигурацию. А через консоль с такими делами как то не комильфо обновлять. А вообще не скажете - веб интерфейс хоть в какой-то мере для этой железки будет? В характеристиках у продажников указано что он есть.

Пробую пример на порту 3

Что здесь не так?

Посмотрите в файле примерный конфиг для интерфейсов + vlan.
Если нигде не ошибся , то адаптируйте под себя.

Что здесь не так?

То, что такой команды нет для данной версии ESR.
Не копируйте просто так команды.
Перейдите в интерфейс и наберите "switchport ?" и увидите в ней поддерживается.

Garri писал(а):То, что такой команды нет для данной версии ESR.
Не копируйте просто так команды.
Перейдите в интерфейс и наберите "switchport ?" и увидите в ней поддерживается.

Спасибо. Встроенной помощью я пользуюсь. Ну телепатией тоже не располагаю , есть официальная документация, которой пытаюсь придерживаться - но если нет других источников информации для конкретного оборудования, то что же я могу сделать. Вот и выжимаю из Вас.

altiveus писал(а):... Собственно вопрос - как для gigabitethernet 1/0/4.150 разрешить только интернет трафик, ну или запретить "ходить" в 1/0/2, 1/0/3, 1/0/4? ...

1) Создайте ещё зону:

security zone guestwifi
exit

2) Замените интерфейсу зону

interface gigabitethernet 1/0/4.150
security-zone guestwifi
ip address 10.10.14.254/24
exit

3) Создайте правило, по которому трафик будет ходить из зоны guestwifi только в untrusted

security zone-pair guestwifi untrusted
rule 10
action permit
enable
exit
exit


Всё.

Проверьте, будет ли ходить трафик в 1/0/2; 1/0/3; 1/0/4 из 1/0/4.150 ?

Проверьте, будет ли ходить трафик в 1/0/2; 1/0/3; 1/0/4 из 1/0/4.150 ?

Да, этот вариант работает с неуправляемым POE коммутатором и точкой WEP-2ac. Но на этом субинтефейсе при таких настройках зоны перестаёт работать DHCP сервер . Нужно ещё что-то допилить.

А я подумал, что вопрос решён )

То есть коммутатор за ESR неуправляемый?

перестаёт работать DHCP сервер

И каким образом это проявляется?

Нет, вопрос ещё не решён, возвращаюсь по мере разгруженности.

То есть коммутатор за ESR неуправляемый?

Да, для теста пока неуправляемый, так как если включить MES, то чудеса "усугубляются".

И каким образом это проявляется?

Странный вопрос, ну да ладно, возможно не так сказал (dhcp сервер настроен, с ним видимо нет связи в этом случае). Устройства не могут получить ip адрес при подключении к этой подсети. Подключение удается только при назначенных вручную на устройствах адресе, шлюзе, DNS. Напомню, что этот субинтерфейс использую для точки доступа. Как только меняю зону на trusted - клиенты получают ip адреса.
Из книжки по esr -

Для разрешения прохождения сообщений протокола DHCP к серверу необходимо создать соответствующие профили портов, включающие порт источника 68 и порт назначения 67, используемые протоколом DHCP, и создать разрешающее правило в политике безопасности для прохождения пакетов протокола UDP

То есть "оно" и не должно было заработать пока в zone pair не будет соответствующего правила, я правильно понимаю?