Cisco IP unnumbered, блокировка Netbios

[udaffrzn]

Всех приветствую!

Немного запутался, может кто подскажет. c3750 терминирует пачку клиентских VLAN, настроен ip unnumbered. На каждом интерфейсе указано no ip proxy-arp. Имеет ли смысл дополнительно на эти интерфейсы навешивать ACL для блокировки трафика Netbios? Понятно, что такие вещи лучше вешать на доступе, но сеть разношерстная, часть vlan отдаются по радио доступу.

 

---

upd.

Тестово повесил ACL на один из интерфейсов. Побежали счетчики по netbios-ns, netbios-dgm.

Edited July 19, 2017 by udaffrzn

[RN3DCX]

Мож на UP'link повесить?

[udaffrzn]

Смысл? здесь имеется в виду межабоненский трафик.

[RN3DCX]

Я например подумал, что надо защититься от внешних угроз.

[buckethead]

У вас VLAN на что? На абонента? Proxy-arp не даст ходить трафику клиентов в одной сети, но разных VLAN, если VLAN общий -- резать надо на доступе.

 

Тестово повесил ACL на один из интерфейсов. Побежали счетчики по netbios-ns, netbios-dgm.

В сторону этого интерфейса скорее всего валит мультикастом этот срач, вот и счётчики растут.

[udaffrzn]

В данном случае Vlan на пользователя. Если отключен proxy-arp на абонентских интерфейсах, то они не будут видеть друг друга, а видят только шлюз и все что за ним. По TCP счетчики по нулям. По сему выходит что навешивать ACL на эти интерфейсы не имеет практически никакого смысла.

[VolanD666]

А вы с какой цель. Это блокировать хотите? Может проще шторм контроль повесить на интерфейс и все?

[udaffrzn]

Цель - блокировка взаимодействия пользовательских ПК по нетбиосу. Противодействие распространению Петь, Вась и им подобных.

Edited July 20, 2017 by udaffrzn

[zhenya`]

На аксесе надо воевать с петями и васями )

[buckethead]

Конечно, резать всё лишнее нужно на границе сети, чтобы это не гуляло бесполезно по вашей сети.

[udaffrzn]

На аксесе надо воевать с петями и васями )

 

Это все понятно, но часть клиентов сидят на радиодоступе. Вот в этом проблема.