Вопрос: Как организовать маршрутизацию между подсетями, подключёнными к разным коммутаторам, а также при необходимости ограничить её?

Ответ: 

Схема сети:


Задача: Необходимо обеспечить маршрутизацию между тремя пользовательскими подсетями - 192.168.1.0/24, 192.168.2.0/24 и 192.168.3.0/24, распределёнными между коммутаторами как показано на рисунке, при этом маршрутизация между подсетями 192.168.1.0/24 и 192.168.3.0/24 должна быть запрещена.

Для этого следует создать на коммутаторах соответствующие VLAN и назначить для каждой из них IP-интерфейсы. Для этого на коммутаторе №1 создаём VLAN (в дополнение к default), а на коммутаторе №2 ещё два. Для каждого VLAN создаём IP-интерфейс в соответствующей подсети. Связь между коммутаторами будет осуществляться через default.

DES-3326SR#1:
config ipif System ipaddress 192.168.0.100/24
create vlan vlan2 tag 2
config vlan default delete 1-8
config vlan vlan2 add untagged 1-8
create ipif v2 192.168.1.1/24 vlan2 state enable
create iproute default 192.168.0.101

DES-3326SR#2:
config ipif System ipaddress 192.168.0.101/24
create vlan vlan2 tag 2
create vlan vlan3 tag 3
config vlan default delete 1-16
config vlan vlan2 add untagged 1-8
config vlan vlan3 add untagged 9-16
create ipif v2 192.168.2.1/24 vlan2 state enable
create ipif v3 192.168.3.1/24 vlan3 state enable
create iproute default 192.168.0.100

Замечание: При настройки клиентских рабочих станций в качестве шлюза по умолчанию следует указывать соответствующий IP-интерфейс коммутатора.

Ограничение доступа между подсетями 192.168.1.0/24 и 192.168.3.0/24:

DES-3326SR#1:
create access_profile ip destination_ip_mask 255.255.255.0 deny pro
file_id 1
config access_profile profile_id 1 add access_id 1 ip destination_ip 192.168.3.0

DES-3326SR#2:
create access_profile ip destination_ip_mask 255.255.255.0 deny pro
file_id 1
config access_profile profile_id 1 add access_id 1 ip destination_ip 192.168.1.0