maniackiller Posted July 10, 2006 Posted July 10, 2006 Народ ситуация в следующем: есть Cisco Catalyst 2950 к его портам подключаются клиенты, на портах висят access-list чтобы разрешали кому каким ip можно ходить по данному порту, но нужно сделать привязку к mac-адресу сетевой карты и соответствия ему Ip. Как такое можно сделать? Вставить ник Quote
vIv Posted July 10, 2006 Posted July 10, 2006 Народ ситуация в следующем: есть Cisco Catalyst 2950 к его портам подключаются клиенты, на портах висят access-list чтобы разрешали кому каким ip можно ходить по данному порту, но нужно сделать привязку к mac-адресу сетевой карты и соответствия ему Ip. Как такое можно сделать? Зачем к МАСу??? Лучше прибей к порту и включи DHCP Вставить ник Quote
Андрей__ Posted July 10, 2006 Posted July 10, 2006 Народ ситуация в следующем: есть Cisco Catalyst 2950 к его портам подключаются клиенты, на портах висят access-list чтобы разрешали кому каким ip можно ходить по данному порту, но нужно сделать привязку к mac-адресу сетевой карты и соответствия ему Ip. Как такое можно сделать? Так это же коммутатор второго уровня - там access листы только для ограничения доступа к самой железяке. Только port security по MAC умеем. Вставить ник Quote
maniackiller Posted July 11, 2006 Author Posted July 11, 2006 т.е. что получается нельзя сделать привязки? я не говорю про то чтобы поставить на порт ip, я имел ввиду что например пришел пакет в каталист, он его сравнил с разрешенным мак адресом и провел соответсвие между маком и айпи в арп-таблице Вставить ник Quote
puh Posted July 11, 2006 Posted July 11, 2006 пришел пакет в каталист, он его сравнил с разрешенным мак адресом и провел соответсвие между маком и айпи в арп-таблице сравнить мак с таблицей разрешённых на этом порту 2950 может. а вот извлечь из этого пакета ip отправителя и проверить его - не может. эта функциональность есть в 3550/3560 и выше. Вставить ник Quote
D^2 Posted July 11, 2006 Posted July 11, 2006 пришел пакет в каталист, он его сравнил с разрешенным мак адресом и провел соответсвие между маком и айпи в арп-таблицесравнить мак с таблицей разрешённых на этом порту 2950 может. а вот извлечь из этого пакета ip отправителя и проверить его - не может. эта функциональность есть в 3550/3560 и выше. не знаю, что вы имели в виду, но 2950 умеет нормальные ACL http://www.cisco.com/en/US/products/hw/swi...0080648d7c.html это, что каксается привязки mac к порту http://www.cisco.com/en/US/products/hw/swi...0080648dd5.html Вставить ник Quote
puh Posted July 11, 2006 Posted July 11, 2006 не знаю, что вы имели в виду, но 2950 умеет нормальные ACLhttp://www.cisco.com/en/US/products/hw/swi...0080648d7c.html а теперь крайне рекомендуется очень внимательно и целиком прочитать упомянутый документ, чтобы понять, как, куда и при каких условиях 2950 умеет нормальные ACL. Оптимизма может поубавиться. Вставить ник Quote
D^2 Posted July 11, 2006 Posted July 11, 2006 не знаю, что вы имели в виду, но 2950 умеет нормальные ACL http://www.cisco.com/en/US/products/hw/swi...0080648d7c.html а теперь крайне рекомендуется очень внимательно и целиком прочитать упомянутый документ, чтобы понять, как, куда и при каких условиях 2950 умеет нормальные ACL. Оптимизма может поубавиться. может конечно не внимательно прочитал, но тогда как это понять? When a packet is received on an interface, the switch compares the fields in the packet against any applied ACLs to verify that the packet has the required permissions to be forwarded, based on the criteria specified in the access lists. The switch supports these types of ACLs on physical interfaces in the inbound direction: •IP ACLs filter IP, TCP, and UDP traffic. •Ethernet or MAC ACLs filter Layer 2 traffic. •MAC extended access lists use source and destination MAC addresses and optional protocol type information for matching operations. •Standard IP access lists use source addresses for matching operations. •Extended IP access lists use source and destination addresses and optional protocol type information for matching operations. т.е. если написать Switch(config)# access-list 2 permit host 171.69.198.102 Switch(config)# access-list 2 deny any Switch(config)# interface fastethernet0/1 Switch(config-if)# ip access-group 2 in Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security mac-address 0000.0200.0004 Switch(config-if)# end тогда MAC будет прибит к порту и только определенный IP сможет через этот порт ходить? или я что-то опять не так прочитал? Вставить ник Quote
UglyAdmin Posted July 11, 2006 Posted July 11, 2006 не знаю, что вы имели в виду, но 2950 умеет нормальные ACL http://www.cisco.com/en/US/products/hw/swi...0080648d7c.html а теперь крайне рекомендуется очень внимательно и целиком прочитать упомянутый документ, чтобы понять, как, куда и при каких условиях 2950 умеет нормальные ACL. Оптимизма может поубавиться. Это умеют даже ДЛинки.То, что свитч второго уровня не означает, что он не может смотреть в IP. Такие свитчи обычно называются L2-4. Вставить ник Quote
UglyAdmin Posted July 11, 2006 Posted July 11, 2006 тогда MAC будет прибит к порту и только определенный IP сможет через этот порт ходить?или я что-то опять не так прочитал? Зачем прибивать МАС, если прибит IP???Только лишний геморрой и для юзера и для техсаппорта! Вставить ник Quote
Андрей__ Posted July 11, 2006 Posted July 11, 2006 тогда MAC будет прибит к порту и только определенный IP сможет через этот порт ходить? или я что-то опять не так прочитал? Зачем прибивать МАС, если прибит IP???Только лишний геморрой и для юзера и для техсаппорта! Что-то я товарища циску не понял - на IOS 12.0 .. 12.1 ip access-group применяется только на int vlanN, сами access-list в комбинации еще c NTP, SNMP ... Ну нет такой команды в интерфейсном режиме конфига (conf t | int fa0/1), хоть убей.. Как не старался - не режет оно пакеты... Вставить ник Quote
puh Posted July 11, 2006 Posted July 11, 2006 Что-то я товарища циску не понял - на IOS 12.0 .. 12.1 ip access-group применяется только на int vlanN, сами access-list в комбинации еще c NTP, SNMP ...Ну нет такой команды в интерфейсном режиме конфига (conf t | int fa0/1), хоть убей.. Как не старался - не режет оно пакеты... я же предложил повнимательнее почитать тот документ ограничение первое - требуется EI. На SI привязать ACL можно только только к management интерфейсу. то бишь, к interface vlan ... кроме того, надо вспомнить, что в платформе 2950 свичи SI и EI различаются железом и перезаливка IOS не поможет. Вставить ник Quote
kuru Posted July 11, 2006 Posted July 11, 2006 2950 SI уже несколько лет нет. Если вы где-то покупаете сливы, так нужно думать... Вставить ник Quote
Андрей__ Posted July 13, 2006 Posted July 13, 2006 2950 SI уже несколько лет нет. Если вы где-то покупаете сливы, так нужно думать... последний из ЗИпа Cisco Internetwork Operating System Software IOS C2950 Software (C2950-I6Q4L2-M), Version 12.1(22)EA6, RELEASE SOFTWARE (fc1) Copyright © 1986-2005 by cisco Systems, Inc. Compiled Fri 21-Oct-05 01:59 by yenanh меньше года, однако и будет еще лет 5-7 работать, это ж не dlink, а cisco, хотя и без резалки пакетов на коммутаторах второго уровня Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.