survivor Опубликовано 1 февраля, 2010 · Жалоба Доброго времени суток! есть каталист, к портам которого подключены абоненты (кто через дслам, кто - напрямую...), нужно защитить сеть от езернет кадров идущих от абонентов с source MAC'ами брасов. Можно для начала сделать так: int fastEthernet 0/1 mac access-group no-bras-mac in и соответственно: mac access-list extended no-bras-mac deny host <MAC-BRAS-1> any deny host <MAC-BRAS-2> any permit any any Все вроде бы? Ан нет... mac access-group работает ТОЛЬКО для НЕ ip трафика (по документации и согласно моим экспериментам). То есть pppoe и arp работать не будут, но обычный IP пакет пройдет, в результате кадр с подставленным маком дойдет до ядра сети и центральный свич будет думать что брас находится в двух местах. Так можно обычным пингом навредить провайдеру. Что делать? Cisco предлагает поставить одновременно с mac access-group еще и ip access-group на интерфейс, и там фильтровать IP трафик. Хорошо: interface FastEthernet0/1 ip access-group no-bras-ip in ip access-list extended no-bras-ip deny ? <0-255> An IP protocol number ahp Authentication Header Protocol eigrp Cisco's EIGRP routing protocol esp Encapsulation Security Payload gre Cisco's GRE tunneling icmp Internet Control Message Protocol igmp Internet Gateway Message Protocol igrp Cisco's IGRP routing protocol ip Any Internet Protocol ipinip IP in IP tunneling nos KA9Q NOS compatible IP over IP tunneling ospf OSPF routing protocol pcp Payload Compression Protocol pim Protocol Independent Multicast tcp Transmission Control Protocol udp User Datagram Protocol Но здесь же нельзя матчить пакеты по макам? Логично - это же IP access-list - а в ip пакете макам делать нечего :-) Хм... что же делать? Да... забыл сказать - есть же еще vlan access-lists, но там можно заблокировать нужный mac целиком в влане, а мне то нужно заблокировать только кадры с src mac идущие с определенных портов, иначе я заблокирую мак браса и отрублю всем интернет... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
survivor Опубликовано 4 февраля, 2010 · Жалоба Хмм... такой важный вопрос по безопасности и до сих пор ни одного ответа?... Или я чего-то не то спрашиваю или никто не защищается от спуфинга клиентами маков брасов. Кто знает - поделитесь плз опытом :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
