NCPhantom Опубликовано 22 марта, 2011 (изменено) · Жалоба есть роутер с 3 интерфейсами например 192.168.1.1, 192.168.2.1, 192.168.3.1 соответственно он рулит эти 3 диапазона. Нужно подключить к каждому интерфейсу роутера по 2950 циске, а в неё уже подключить отдельные сегменты сетей с возможностью ограничивать на каждый порт списка IP + MAC. И как можно реализовать обновление списков через какой-нибудь скрипт? Подскажите как лучше всего это реализовать? PS: как я понял, контролировать IP + MAC 2950 циской не получится, только MAC. и если правильно понял то 2 варианта или через Port Security или MAC Extended ACL... Но всё равно хочется услышать, как лучше всего реализовать это и как можно автоматизировать удаление добавление разрешенных адресов. Изменено 22 марта, 2011 пользователем NCPhantom Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 22 марта, 2011 · Жалоба ARP Inspection и IP-Source-Guard разве нету в этой кошке? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dwemer Опубликовано 23 марта, 2011 (изменено) · Жалоба ip source guard нету , но можно ACL вешать на физ. интерфейсы. Автоматизировать можно своим скриптом: генерить ACL'и и заливать через snmp+tftp а мак зачем контролировать? Изменено 23 марта, 2011 пользователем dwemer Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NCPhantom Опубликовано 23 марта, 2011 · Жалоба Мне нужно не мак контролировать. А чтоб циска пропускала не просто разрешенные маки, а мак + ип. Чтоб нельзя было менять IP. т.е. как я понял, если привязать ACL к портам то пропускать будет конкретные МАК адреса, но при смене IP всё так же будет работать, а нужно чтоб работало только со своим IP. Подскажите как лучше это реализовать? Если вообще можно... PS: С цисками раньше не работал, по этому может чего не так понимаю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
eskhaliot Опубликовано 23 марта, 2011 · Жалоба Мне нужно не мак контролировать. А чтоб циска пропускала не просто разрешенные маки, а мак + ип. Чтоб нельзя было менять IP. т.е. как я понял, если привязать ACL к портам то пропускать будет конкретные МАК адреса, но при смене IP всё так же будет работать, а нужно чтоб работало только со своим IP.Подскажите как лучше это реализовать? Если вообще можно... PS: С цисками раньше не работал, по этому может чего не так понимаю. Можно на роутере делать привязку мака к ip адресу Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NCPhantom Опубликовано 23 марта, 2011 (изменено) · Жалоба Можно на роутере делать привязку мака к ip адресу но тогда получится, что при смене IP он будет получать доступ к другим сегментам сети подключенным в эту же циску на другие порты? а хочется ограничить доступ не далее того сегмента где он находится. Изменено 23 марта, 2011 пользователем NCPhantom Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dwemer Опубликовано 23 марта, 2011 (изменено) · Жалоба Мне нужно не мак контролировать. А чтоб циска пропускала не просто разрешенные маки, а мак + ип. Чтоб нельзя было менять IP. т.е. как я понял, если привязать ACL к портам то пропускать будет конкретные МАК адреса, но при смене IP всё так же будет работать, а нужно чтоб работало только со своим IP.Подскажите как лучше это реализовать? Если вообще можно... PS: С цисками раньше не работал, по этому может чего не так понимаю. acl на порту может фильтровать IP interface FastEthernet0/3 switchport access vlan 10 switchport mode access ip access-group 3 in no cdp enable spanning-tree portfast ! access-list 3 permit 192.168.0.2 http://www.cisco.com/en/US/docs/switches/l...uide/swacl.html Изменено 23 марта, 2011 пользователем dwemer Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LordFAntom Опубликовано 23 марта, 2011 (изменено) · Жалоба Все вместе вот так interface FastEthernet0/3 description --==== TEST =====--- switchport access vlan 10 switchport mode access switchport port-security switchport port-security maximum 2 switchport port-security violation protect switchport port-security mac-address aaaa.aaaa.aaaa switchport port-security mac-address aaaa.aaaa.aaab ip access-group 3 in no cdp enable spanning-tree portfast access-list 3 permit 192.168.0.2 ну и типа того sh mac address-table Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- All 0013.80d1.5a80 STATIC CPU All 0100.0ccc.cccc STATIC CPU All 0100.0ccc.cccd STATIC CPU All 0100.0cdd.dddd STATIC CPU 10 aaaa.aaaa.aaaa STATIC Fa0/3 10 aaaa.aaaa.aaab STATIC Fa0/3 Total Mac Addresses for this criterion: 6 Изменено 23 марта, 2011 пользователем LordFAntom Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LordFAntom Опубликовано 23 марта, 2011 · Жалоба однако ACL на 2950 проверил IP поменял доступ так и остался (((( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
deepweb Опубликовано 25 декабря, 2011 · Жалоба Добавь. access-list 3 permit 192.168.0.2 access-list 3 deny any Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Azamat Опубликовано 25 декабря, 2011 · Жалоба на 2950Т есть ACL привязка IP адреса на порт, на 2950-24 (без гигабитных портов) - нет такой возможности, Standard Image однако. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BobroCoder Опубликовано 18 февраля, 2014 (изменено) · Жалоба Люди Добрые, помогите пожалуйста. Не могу на С2950 привязать ACL и к портам: Мне необходимо по типу так: # access-list 101 permit ip host 10.5.43.7 host 10.5.43.5 #Разрешаем обращение клиента только к шлюзу # access-list 101 permit udp any any eq bootps #Разрешаем получать адрес по DHCP # access-list 101 deny ip any any #Запрещаем все остальное Пробую повесить на интерфейс: # interface FastEthernet 0/1 C3T_Cisco2950_1(config-if)#ip access-group 101 in Выбивает ошибку: %Error: The field sets of all the ACEs in an ACL on Ethernet interface should match.Please refer to the Software Configuration Guide to understand one mask restriction for ACLs on Ethernet interface. Если отдельно разрешать общение с шлюзом или отдельно DHCP - все применяется и работает. Не могу понять в чем ошибка. Прошу помощи. Настроен DHCP Relay. Необходимо привязать IP к порту. Если ограничиваю через ACL обращение от IP до шлюза - клиент не получает адрес по DHCP. Смог заставить заработать так: C3T_Cisco2950_1(config)#access-list 1 permit 10.5.43.7C3T_Cisco2950_1(config)#access-list 1 permit 0.0.0.0 C3T_Cisco2950_1(config)#access-list 1 deny any C3T_Cisco2950_1(config)#interface FastEthernet 0/1 C3T_Cisco2950_1(config-if)#ip access-group 1 in C3T_Cisco2950_1(config-if)# Вроде бы работает... Изменено 18 февраля, 2014 пользователем BobroCoder Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BAHbKA Опубликовано 21 сентября, 2015 · Жалоба Люди Добрые, помогите пожалуйста. Не могу на С2950 привязать ACL и к портам: Мне необходимо по типу так: # access-list 101 permit ip host 10.5.43.7 host 10.5.43.5 #Разрешаем обращение клиента только к шлюзу # access-list 101 permit udp any any eq bootps #Разрешаем получать адрес по DHCP # access-list 101 deny ip any any #Запрещаем все остальное Пробую повесить на интерфейс: # interface FastEthernet 0/1 C3T_Cisco2950_1(config-if)#ip access-group 101 in Выбивает ошибку: %Error: The field sets of all the ACEs in an ACL on Ethernet interface should match.Please refer to the Software Configuration Guide to understand one mask restriction for ACLs on Ethernet interface. Если отдельно разрешать общение с шлюзом или отдельно DHCP - все применяется и работает. Не могу понять в чем ошибка. Прошу помощи. Настроен DHCP Relay. Необходимо привязать IP к порту. Если ограничиваю через ACL обращение от IP до шлюза - клиент не получает адрес по DHCP. Смог заставить заработать так: C3T_Cisco2950_1(config)#access-list 1 permit 10.5.43.7C3T_Cisco2950_1(config)#access-list 1 permit 0.0.0.0 C3T_Cisco2950_1(config)#access-list 1 deny any C3T_Cisco2950_1(config)#interface FastEthernet 0/1 C3T_Cisco2950_1(config-if)#ip access-group 1 in C3T_Cisco2950_1(config-if)# Вроде бы работает... А как быть если еще есть пул адресов "без денег"? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...