networks Posted March 10, 2008 Posted March 10, 2008 Привет! Вопрос к цисководам. Имеется: Catalyst 6506. Задача: заблокировать IP-пакеты с определенного SRC MAC-адреса ZZ:ZZ:ZZ:ZZ:ZZ:ZZ на определенный DST IP XXX.XXX.XXX.XXX tcp port YYY. Ранее, когда был pc-router с FreeBSD, задача решалась следующим правилом IPFW: deny tcp from any to XXX.XXX.XXX.XXX dst-port YYY MAC any ZZ:ZZ:ZZ:ZZ:ZZ:ZZ и включением опции net.link.ether.ipfw=1 при загрузке. Теперь поставили Cisco, уже 2 недели бъемся, не можем разобраться, можно ли вообще на ней реализовать вышеописанное, или нет. Подскажите, что делать? Искать другое решение? Или, может быть, есть какие-то хитрые команды? Вставить ник Quote
ingress Posted March 10, 2008 Posted March 10, 2008 (edited) теоретически можно с помощью vlan acl работает ли - не знаю, но сделать match ip и mac одновременно кли позволяет Edited March 10, 2008 by ingress Вставить ник Quote
networks Posted March 10, 2008 Author Posted March 10, 2008 Пытался делать следующее: vlan access-map YYY 10 match ip address XXX match mac address ZZZ При вводе второй строчки она заменяет первую. В доке http://www.cisco.com/en/US/docs/switches/l...guide/vacl.html сказано, что match на один access-map sequence может быть только один.. Может, я что-то не так делаю? Вставить ник Quote
ingress Posted March 10, 2008 Posted March 10, 2008 я пробовал на Cat3550 :) там не заменяет. проверять на работоспособность на рабочей сиське не хочу. работать наверно не будет, думаю надо подумать о другом способе(месте) где делать такое ограничение Вставить ник Quote
networks Posted March 12, 2008 Author Posted March 12, 2008 UP. Неужели всемогущая циска действительно не может такой несложной вещи? Вставить ник Quote
puh Posted March 12, 2008 Posted March 12, 2008 она не всемогущая. особенно всякие там 65-е, которые умеют только то, что зашито в ASICи... Вставить ник Quote
Nailer Posted March 12, 2008 Posted March 12, 2008 (edited) Каталист у вас рутит этот траффик? P.S. Суп и карты какие? Edited March 12, 2008 by Nailer Вставить ник Quote
networks Posted March 12, 2008 Author Posted March 12, 2008 Каталист рутит и бриджит. Sup WS-SUP720-3B, карты WS-X6724-SFP Вставить ник Quote
UglyAdmin Posted March 12, 2008 Posted March 12, 2008 А Вам это вообще зачем? Может, Вы просто не того от циски хотите, например надо схему сети менять, а не циску настраивать. Вставить ник Quote
networks Posted March 12, 2008 Author Posted March 12, 2008 Блин, просто скажите, можно на циске так сделать, или нет. И если можно - то как :) Workaround-ов несколько, но не хотелось бы тратить на них время, если это не обязательно. Вставить ник Quote
zoro Posted March 12, 2008 Posted March 12, 2008 скорее нет :( а вообще задача очень интересная и специфичная :) Скорее всего вы клиентов привязываете по макам на акцесе, а в голове таким правилом хотите запретить доступ к маршрутизатору... ну итд итп... ? Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.