[MixX DeDrug]

уж не знаю как сформулировать...

 

Как откреститься от юзеров неправильно настраивающих роутеры и пр...

Т.е. пропускать только свою сеть 172.16.ххх.ххх

 

Понимаю что с помощью ACL, а как правильно прописать...?

[Alex/AT]

IPMB (IP-Port-MAC binding). Группа команд address_binding. Это если на каждом порту известные адреса - просто прибиваете их железно, или снупите в IPMB с DHCP.

 

Либо ACL. Прописываете что-то следующего вида:

create access_profile profile_id 1 ip source_ip_mask 255.255.0.0 destination_ip_mask 0.0.0.0
config access_profile profile_id 1 add access_id 1 ip source_ip 172.16.0.0 port 1-24 permit counter enable rx_rate no_limit
config access_profile profile_id 1 add access_id 2 ip destination_ip 0.0.0.0 port 1-24 deny counter enable rx_rate no_limit

Сие из конфига для 3627. На 3200 A1/B1 должно быть примерно так же, на 3200 C1 чуть отличается - надо мануалы смотреть.

Правда указанное выше слегка зарежет DHCP, если DHCP надо - значит надо еще либо броадкаст пропускать, либо дополнительно фильтровать по порту.

Edited October 9, 2012 by Alex/AT

[MixX DeDrug]

Вот спасибо, примного благодарен...

 

На ревизии С1 и вправду все по другому, уже сталкивался...но у меня практически все A и B

[sergeyfromkomi]

у нас так на 3200:

create access_profile ip source_ip_mask 255.255.255.255 profile_id 10 
config access_profile profile_id 10 add access_id 1 ip source_ip 10.2.0.2 port 1 permit
config access_profile profile_id 10 add access_id 2 ip source_ip 10.2.0.3 port 2 permit
config access_profile profile_id 10 add access_id 3 ip source_ip 10.2.0.4 port 3 permit

и

create access_profile ip source_ip_mask 0.0.0.0 profile_id 20 
config access_profile profile_id 20 add access_id 1 ip source_ip 0.0.0.0 port 1 deny
config access_profile profile_id 20 add access_id 2 ip source_ip 0.0.0.0 port 2 deny
config access_profile profile_id 20 add access_id 3 ip source_ip 0.0.0.0 port 3 deny

 

отлично справляется.

Edited October 10, 2012 by sergeyfromkomi

[sergeyfromkomi]

Правда указанное выше слегка зарежет DHCP

слегка это как? через один пакет? Можно поподробней?

[Alex/AT]

слегка это как? через один пакет? Можно поподробней?

Не, расслабьтесь :) Это ирония вида "мы тебя нэ больно зарэжэм" :)

Вышеуказанное зарежет DHCP насмерть, если конечно ничего в свитче не предусмотрено на сей счёт.

И в случае DHCP Relay не тестировал - не знаю. Просто ACL использовал слегка для других целей (PBR на 3627), а IP прибивается в IPMB.

Edited October 10, 2012 by Alex/AT

[pppoetest]

ЕМНИП, дхцп релэй у делинков обрабатывается процом, поэтому не должно чикаться.

[dazgluk]

слегка это как? через один пакет? Можно поподробней?

Не, расслабьтесь :) Это ирония вида "мы тебя нэ больно зарэжэм" :)

Вышеуказанное зарежет DHCP насмерть, если конечно ничего в свитче не предусмотрено на сей счёт.

И в случае DHCP Relay не тестировал - не знаю. Просто ACL использовал слегка для других целей (PBR на 3627), а IP прибивается в IPMB.

Dhcp relay и dhcp snooping (он же dhcp_local_relay) как правильно сказали работают софтово, на некоторых моделях даже создается PFC ACL с наименьшим профилем ID которая матчит DHCP и отправляет на проц. Так что с DHCP все будет ок если включить relay/snooping