MixX DeDrug Posted October 9, 2012 Posted October 9, 2012 уж не знаю как сформулировать... Как откреститься от юзеров неправильно настраивающих роутеры и пр... Т.е. пропускать только свою сеть 172.16.ххх.ххх Понимаю что с помощью ACL, а как правильно прописать...? Вставить ник Quote
Alex/AT Posted October 9, 2012 Posted October 9, 2012 (edited) IPMB (IP-Port-MAC binding). Группа команд address_binding. Это если на каждом порту известные адреса - просто прибиваете их железно, или снупите в IPMB с DHCP. Либо ACL. Прописываете что-то следующего вида: create access_profile profile_id 1 ip source_ip_mask 255.255.0.0 destination_ip_mask 0.0.0.0 config access_profile profile_id 1 add access_id 1 ip source_ip 172.16.0.0 port 1-24 permit counter enable rx_rate no_limit config access_profile profile_id 1 add access_id 2 ip destination_ip 0.0.0.0 port 1-24 deny counter enable rx_rate no_limit Сие из конфига для 3627. На 3200 A1/B1 должно быть примерно так же, на 3200 C1 чуть отличается - надо мануалы смотреть. Правда указанное выше слегка зарежет DHCP, если DHCP надо - значит надо еще либо броадкаст пропускать, либо дополнительно фильтровать по порту. Edited October 9, 2012 by Alex/AT Вставить ник Quote
MixX DeDrug Posted October 9, 2012 Author Posted October 9, 2012 Вот спасибо, примного благодарен... На ревизии С1 и вправду все по другому, уже сталкивался...но у меня практически все A и B Вставить ник Quote
sergeyfromkomi Posted October 10, 2012 Posted October 10, 2012 (edited) у нас так на 3200: create access_profile ip source_ip_mask 255.255.255.255 profile_id 10 config access_profile profile_id 10 add access_id 1 ip source_ip 10.2.0.2 port 1 permit config access_profile profile_id 10 add access_id 2 ip source_ip 10.2.0.3 port 2 permit config access_profile profile_id 10 add access_id 3 ip source_ip 10.2.0.4 port 3 permit и create access_profile ip source_ip_mask 0.0.0.0 profile_id 20 config access_profile profile_id 20 add access_id 1 ip source_ip 0.0.0.0 port 1 deny config access_profile profile_id 20 add access_id 2 ip source_ip 0.0.0.0 port 2 deny config access_profile profile_id 20 add access_id 3 ip source_ip 0.0.0.0 port 3 deny отлично справляется. Edited October 10, 2012 by sergeyfromkomi Вставить ник Quote
sergeyfromkomi Posted October 10, 2012 Posted October 10, 2012 Правда указанное выше слегка зарежет DHCP слегка это как? через один пакет? Можно поподробней? Вставить ник Quote
Alex/AT Posted October 10, 2012 Posted October 10, 2012 (edited) слегка это как? через один пакет? Можно поподробней? Не, расслабьтесь :) Это ирония вида "мы тебя нэ больно зарэжэм" :) Вышеуказанное зарежет DHCP насмерть, если конечно ничего в свитче не предусмотрено на сей счёт. И в случае DHCP Relay не тестировал - не знаю. Просто ACL использовал слегка для других целей (PBR на 3627), а IP прибивается в IPMB. Edited October 10, 2012 by Alex/AT Вставить ник Quote
pppoetest Posted October 11, 2012 Posted October 11, 2012 ЕМНИП, дхцп релэй у делинков обрабатывается процом, поэтому не должно чикаться. Вставить ник Quote
dazgluk Posted October 11, 2012 Posted October 11, 2012 слегка это как? через один пакет? Можно поподробней? Не, расслабьтесь :) Это ирония вида "мы тебя нэ больно зарэжэм" :) Вышеуказанное зарежет DHCP насмерть, если конечно ничего в свитче не предусмотрено на сей счёт. И в случае DHCP Relay не тестировал - не знаю. Просто ACL использовал слегка для других целей (PBR на 3627), а IP прибивается в IPMB. Dhcp relay и dhcp snooping (он же dhcp_local_relay) как правильно сказали работают софтово, на некоторых моделях даже создается PFC ACL с наименьшим профилем ID которая матчит DHCP и отправляет на проц. Так что с DHCP все будет ок если включить relay/snooping Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.