dalt_ud Опубликовано 7 апреля, 2017 · Жалоба Здравствуйте. Есть коммутатор SNR-S2985G-8T, до этого я не имел дела ни с Cisco ни с SNR коммутаторами, так что могу не знать элементарных вещей. 1. Есть необходимость ограничивать доступ на порту только для определенного мак адреса. 2. Нужно настроить изоляцию портов, чтобы все порты могли общаться с uplink и не могли общаться между собой. По пункту 1 я включил port-security на порту 1 прописал мак адрес ноутбука1 которому разрешен доступ NR-S2985G-8T(config-if-ethernet1/0/1)#switchport port-security mac-address 00-13-a9-fa-20-6 поставил violation на protect в итоге получилось вот так SNR-S2985G-8T(config-if-ethernet1/0/1)#show port-security Secure Port MaxAddr(secured,secures) CurAddrNum(secured,secures) StaticAddrNum SecurityViolation (count) Security Action ------------------------------------------------------------------------------------------------------------------------------------------------------ Ethernet1/0/1 1 1 0 0 Protect после этого, отключил ноутбук1, подключил в первый порт ноутбук2, и он не блокирует трафик от ноутбука2. в таблице мак адресов картина такая SNR-S2985G-8T(config-if-ethernet1/0/1)#show mac-address-table Read mac address table.... Vlan Mac Address Type Creator Ports ---- --------------------------- ------- ------------------------------------- 1 00-13-a9-fa-20-69 SECUREC PSecure Ethernet1/0/1 1 00-26-5a-05-d6-da DYNAMIC Hardware Ethernet1/0/7 1 64-70-02-05-2a-7d DYNAMIC Hardware Ethernet1/0/7 1 f0-de-f1-0e-17-17 SECURED PSecure Ethernet1/0/1 1 f8-f0-82-75-a0-57 STATIC System CPU Я что-то не так делаю, или неправильно понимаю функцию port-security? А по поводу изоляции портов, я еще на практике не экспериментировал, но из описания я понял так, что нужно просто добавить все порты (кроме аплинка) в isolate group и все будет работать так, как нужно. Я правильно это понимаю? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
olezhik85 Опубликовано 9 апреля, 2017 · Жалоба >> нужно просто добавить все порты (кроме аплинка) в isolate group и все будет работать так, как нужно. Я правильно это понимаю? Да, всё верно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 10 апреля, 2017 · Жалоба 1. Есть необходимость ограничивать доступ на порту только для определенного мак адреса. service firewall и задать ACL. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Victor Tkachenko Опубликовано 10 апреля, 2017 · Жалоба dalt_ud, здравствуйте! 1. Функционала port-security достаточно. Нужно помимо статического указания mac-адреса применить `switchport port-security maximum 0`, чтобы на порту не изучались другие mac-адреса. 2. Как уже подсказали, все верно - просто объедините изолируемые порты в одну isolate group. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dalt_ud Опубликовано 10 апреля, 2017 (изменено) · Жалоба 1. Функционала port-security достаточно. Нужно помимо статического указания mac-адреса применить `switchport port-security maximum 0`, чтобы на порту не изучались другие mac-адреса. не получается задать 0, говорит, что интервал от 1 до 4096 прошивка SoftWare Version 7.0.3.5(R0241.0053) SNR-S2985G-8T(config-if-ethernet1/0/1)#switchport port-security maximum 0 ^ % Invalid input detected at '^' marker. SNR-S2985G-8T(config-if-ethernet1/0/1)#switchport port-security maximum ? <1-4096> Maximum secure address <1-4096> 2. изоляция портов включил 7 портов в isolate group, 8 оставил как предположительный uplink. Порты 9 и 10 тоже оставил вне группы. SNR-S2985G-8T#show isolate-port group Isolate-port group d20uz-sw The isolate-port Ethernet1/0/7 The isolate-port Ethernet1/0/6 The isolate-port Ethernet1/0/5 The isolate-port Ethernet1/0/4 The isolate-port Ethernet1/0/3 The isolate-port Ethernet1/0/2 The isolate-port Ethernet1/0/1 воткнул ноуты в порты 1 и 5 и они без проблем пингуют друг друга, а по идее видеть друг друга не должны. В остальные порты ничего не подключал. Я опять чего-то не понимаю? Изменено 10 апреля, 2017 пользователем dalt_ud Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Victor Tkachenko Опубликовано 11 апреля, 2017 · Жалоба dalt_ud, обновите ПО. Актуальную версию можете скачать здесь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 11 апреля, 2017 · Жалоба SNR-S2985G-8T(config-if-ethernet1/0/1)#switchport port-security maximum 0 Если на порту не должно быть (0) маков, то его нужно просто выключить, наверное? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dalt_ud Опубликовано 11 апреля, 2017 · Жалоба dalt_ud, обновите ПО. Актуальную версию можете скачать здесь. После обновления все заработало. Всем спасибо за помощь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...