Перейти к содержимому
Калькуляторы

Cisco IP unnumbered, блокировка Netbios

Всех приветствую!

Немного запутался, может кто подскажет. c3750 терминирует пачку клиентских VLAN, настроен ip unnumbered. На каждом интерфейсе указано no ip proxy-arp. Имеет ли смысл дополнительно на эти интерфейсы навешивать ACL для блокировки трафика Netbios? Понятно, что такие вещи лучше вешать на доступе, но сеть разношерстная, часть vlan отдаются по радио доступу.

 

---

upd.

Тестово повесил ACL на один из интерфейсов. Побежали счетчики по netbios-ns, netbios-dgm.

Изменено пользователем udaffrzn

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Смысл? здесь имеется в виду межабоненский трафик.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я например подумал, что надо защититься от внешних угроз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У вас VLAN на что? На абонента? Proxy-arp не даст ходить трафику клиентов в одной сети, но разных VLAN, если VLAN общий -- резать надо на доступе.

 

Тестово повесил ACL на один из интерфейсов. Побежали счетчики по netbios-ns, netbios-dgm.

В сторону этого интерфейса скорее всего валит мультикастом этот срач, вот и счётчики растут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В данном случае Vlan на пользователя. Если отключен proxy-arp на абонентских интерфейсах, то они не будут видеть друг друга, а видят только шлюз и все что за ним. По TCP счетчики по нулям. По сему выходит что навешивать ACL на эти интерфейсы не имеет практически никакого смысла.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А вы с какой цель. Это блокировать хотите? Может проще шторм контроль повесить на интерфейс и все?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Цель - блокировка взаимодействия пользовательских ПК по нетбиосу. Противодействие распространению Петь, Вась и им подобных.

Изменено пользователем udaffrzn

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Конечно, резать всё лишнее нужно на границе сети, чтобы это не гуляло бесполезно по вашей сети.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На аксесе надо воевать с петями и васями )

 

Это все понятно, но часть клиентов сидят на радиодоступе. Вот в этом проблема.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.