turbonet 0 Posted 2009-11-14 18:09:55 Share Posted 2009-11-14 18:09:55 есть задача: блокировать доступ по mac адресу... Для этого есть des-3526 и des-1228. Подскажите как реализовать? Link to post Share on other sites
alex_o 1,194 Posted 2009-11-14 19:36:57 Share Posted 2009-11-14 19:36:57 В 3526 для этих целей есть: 1. IMPB - IP-MAC-Port-Binding 2. Port Security 3. ACL 4. 802.1х Выбирайте что душе угодно. DES-1228 - симпатичная подставка под чашку кофе, если на него уши не прикручивать. Link to post Share on other sites
lan_info 2 Posted 2009-11-14 23:31:50 Share Posted 2009-11-14 23:31:50 В 3526 для этих целей есть: 1. IMPB - IP-MAC-Port-Binding 2. Port Security 3. ACL 4. 802.1х Выбирайте что душе угодно. DES-1228 - симпатичная подставка под чашку кофе, если на него уши не прикручивать. А Вы какими функциями пользуетесь с описанных? И почему? Link to post Share on other sites
turbonet 0 Posted 2009-11-14 23:34:10 Author Share Posted 2009-11-14 23:34:10 не могли бы вы хоть кинуть ссылкой, как, что и для чего... ибо гуглю... полный 0... может не там смотрю? Link to post Share on other sites
lan_info 2 Posted 2009-11-14 23:37:35 Share Posted 2009-11-14 23:37:35 не могли бы вы хоть кинуть ссылкой, как, что и для чего... ибо гуглю... полный 0... может не там смотрю? ГГГГ та тебе же написали как нужно блокировать. А вот описания как лучше блокировать не знаю. Порт секурити нормально справляется с задачей не прокускает пакеты мак адреса ненужного. Свичи 3526 - это бомба, по сравнению с ендкорами планетами - отдыхают. Никаких глюков небыло замечено за ними у меня не разу. Link to post Share on other sites
QI_Can9 3 Posted 2009-11-14 23:46:14 Share Posted 2009-11-14 23:46:14 dlink.ru Link to post Share on other sites
turbonet 0 Posted 2009-11-15 00:24:21 Author Share Posted 2009-11-15 00:24:21 если я правильно понял, я могу залочить порт с талицей мак-адресов, которую свич изучил, и порт который я залочил не будет пускать пакеты от неизученных мак-адресов... немного не то чтобы хотелось... имеется свич 3526 от которого идут небольшие ветки с тупыми свичами, на которых висят абоны. Задача: блокировать мак-адреса абонов которые не произвели оплату... есть ли функция игнор на данные маки.... и таблица игнора...? прошу строго не судить, не силен в этом.. Link to post Share on other sites
alex_o 1,194 Posted 2009-11-15 05:23:52 Share Posted 2009-11-15 05:23:52 В такой топологии это лучше делать не свичем, а сервером. Для freebsd есть ipguard, для linux ipsentinel, для windows не помню как называется, го тоже есть. Поиск по этому форуму рулит, уже не раз лбсуждалось. Link to post Share on other sites
rtrt 59 Posted 2009-11-15 10:59:00 Share Posted 2009-11-15 10:59:00 Вам же ответили IP_MAC Port Binding На порт прописываете все маки клиентов(которые висят на этом порту), тех кто не заплатил удаляете или меняете ему порт Link to post Share on other sites
turbonet 0 Posted 2009-11-15 11:31:47 Author Share Posted 2009-11-15 11:31:47 я конечно понимаю... но на порту до 50-80 клиентов... вписать все маки это просто безумие... проще вписать 1 мак который игнорить и все... я спрашиваю не про то как это вообще делается, а конкретно - как сделать так что бы просто игнорились пару-тройку маков, без занесения остальных, которые не должны игнориться! ведь проще вписать 2-3 мака, чем штук 50-80... прошу набраться терпения и не высказываться категорично в мой адрес, всеголишь спрашиваю совета... если такого нет, киньте тогда в меня ссылкой на какое-либо HOWTO, за что буду очень признателен... Link to post Share on other sites
е186 2 Posted 2009-11-15 11:46:45 Share Posted 2009-11-15 11:46:45 Такие вещи делаются на сервере вместе с биллингом. Если уже сеть построена 100% на "умных" коммутаторах, то тогда еще можно за неуплату тупо гасить порты этих абонентов. Link to post Share on other sites
pavlabor 1,977 Posted 2009-11-15 12:16:50 Share Posted 2009-11-15 12:16:50 я конечно понимаю... но на порту до 50-80 клиентов... вписать все маки это просто безумие... проще вписать 1 мак который игнорить и все... я спрашиваю не про то как это вообще делается, а конкретно - как сделать так что бы просто игнорились пару-тройку маков, без занесения остальных, которые не должны игнориться! ведь проще вписать 2-3 мака, чем штук 50-80... прошу набраться терпения и не высказываться категорично в мой адрес, всеголишь спрашиваю совета... если такого нет, киньте тогда в меня ссылкой на какое-либо HOWTO, за что буду очень признателен... В некоторых коммутаторах есть выбор, - не фильтровать - разрешит те кто в списке - запретить те кто в списке но опять же, все зависит от модели коммутатора, по своей модели можеш написаить на сапорт длинка. Link to post Share on other sites
maxx 202 Posted 2009-11-15 12:49:21 Share Posted 2009-11-15 12:49:21 я конечно понимаю... но на порту до 50-80 клиентов... вписать все маки это просто безумие... проще вписать 1 мак который игнорить и все... я спрашиваю не про то как это вообще делается, а конкретно - как сделать так что бы просто игнорились пару-тройку маков, без занесения остальных, которые не должны игнориться! ведь проще вписать 2-3 мака, чем штук 50-80... прошу набраться терпения и не высказываться категорично в мой адрес, всеголишь спрашиваю совета... если такого нет, киньте тогда в меня ссылкой на какое-либо HOWTO, за что буду очень признателен... Статикой привяжи мак на какой-то левый порт. А вообще конкретны ответы на такие вопросы спрашивают у гуля в первую очередь. Link to post Share on other sites
rtrt 59 Posted 2009-11-15 13:09:37 Share Posted 2009-11-15 13:09:37 я конечно понимаю... но на порту до 50-80 клиентов... вписать все маки это просто безумие... проще вписать 1 мак который игнорить и все... я спрашиваю не про то как это вообще делается, а конкретно - как сделать так что бы просто игнорились пару-тройку маков, без занесения остальных, которые не должны игнориться! ведь проще вписать 2-3 мака, чем штук 50-80... прошу набраться терпения и не высказываться категорично в мой адрес, всеголишь спрашиваю совета... если такого нет, киньте тогда в меня ссылкой на какое-либо HOWTO, за что буду очень признателен... тогда с помощью ACL посылать неплательщиков подальше ))) Вопрос: Как разрешить на порту коммутатора серии DES-35XX один IP-адрес и запретить все остальные (без использования функции IP-MAC-Port Binding)? Ответ: Задача: Разрешить на порту 5 коммутатора DES-3526 прохождение трафика от компьютера с IP-адресом 192.168.1.1/24 и запретить всем остальным. При этом MAC-адрес компьютера не должен контролироваться. Настройка DES-3526: # Настройте разрешающее правило для IP-адреса 192.168.1.1/24 create access_profile ip source_ip_mask 255.255.255.255 profile_id 10 config access_profile profile_id 10 add access_id 1 ip source_ip 192.168.1.1 port 5 permit # Настройте запрещающее правило для всех остальных IP-адресов create access_profile ip source_ip_mask 0.0.0.0 profile_id 20 config access_profile profile_id 20 add access_id 2 ip source_ip 0.0.0.0 port 5 deny Примечание: Если необходимо разрешить определённые IP-адреса на других портах коммутатора, то следует добавить в эти же профили все остальные разрешающие и запрещающие правила с привязкой к другим портам. Читаем Link to post Share on other sites
pavlabor 1,977 Posted 2009-11-15 14:10:36 Share Posted 2009-11-15 14:10:36 я конечно понимаю... но на порту до 50-80 клиентов... вписать все маки это просто безумие... проще вписать 1 мак который игнорить и все... я спрашиваю не про то как это вообще делается, а конкретно - как сделать так что бы просто игнорились пару-тройку маков, без занесения остальных, которые не должны игнориться! ведь проще вписать 2-3 мака, чем штук 50-80... прошу набраться терпения и не высказываться категорично в мой адрес, всеголишь спрашиваю совета... если такого нет, киньте тогда в меня ссылкой на какое-либо HOWTO, за что буду очень признателен... Вообще, политика запрещения маков это гарячка, ну напишеш запретить тому и тому, чел поменяет себе мак и привет америка. Прийдется набивать 50-80 маков, только в век повальной комьютеризации и это гарячка, написал скрипт у билингу и кури бамбук, на здоровье. Link to post Share on other sites
turbonet 0 Posted 2009-11-15 16:40:04 Author Share Posted 2009-11-15 16:40:04 я конечно понимаю... но на порту до 50-80 клиентов... вписать все маки это просто безумие... проще вписать 1 мак который игнорить и все... я спрашиваю не про то как это вообще делается, а конкретно - как сделать так что бы просто игнорились пару-тройку маков, без занесения остальных, которые не должны игнориться! ведь проще вписать 2-3 мака, чем штук 50-80... прошу набраться терпения и не высказываться категорично в мой адрес, всеголишь спрашиваю совета... если такого нет, киньте тогда в меня ссылкой на какое-либо HOWTO, за что буду очень признателен... я конечно понимаю... но на порту до 50-80 клиентов... вписать все маки это просто безумие... проще вписать 1 мак который игнорить и все... я спрашиваю не про то как это вообще делается, а конкретно - как сделать так что бы просто игнорились пару-тройку маков, без занесения остальных, которые не должны игнориться! ведь проще вписать 2-3 мака, чем штук 50-80... прошу набраться терпения и не высказываться категорично в мой адрес, всеголишь спрашиваю совета... если такого нет, киньте тогда в меня ссылкой на какое-либо HOWTO, за что буду очень признателен... Вообще, политика запрещения маков это гарячка, ну напишеш запретить тому и тому, чел поменяет себе мак и привет америка. Прийдется набивать 50-80 маков, только в век повальной комьютеризации и это гарячка, написал скрипт у билингу и кури бамбук, на здоровье. тут же опять все просто, поставить чужой мак-адрес - палка о двух концах... юзеру чей мак блокируется надо еще догадаться о причине... если уж он такой умный, тогда просто будет отключен кабель... а привязку ип+мак реализовать не получится, т.к. в сети дхсп Link to post Share on other sites
pavlabor 1,977 Posted 2009-11-15 20:29:51 Share Posted 2009-11-15 20:29:51 Вообще, политика запрещения маков это гарячка, ну напишеш запретить тому и тому, чел поменяет себе мак и привет америка. Прийдется набивать 50-80 маков, только в век повальной комьютеризации и это гарячка, написал скрипт у билингу и кури бамбук, на здоровье. тут же опять все просто, поставить чужой мак-адрес - палка о двух концах... юзеру чей мак блокируется надо еще догадаться о причине... если уж он такой умный, тогда просто будет отключен кабель... а привязку ип+мак реализовать не получится, т.к. в сети дхсп Я у тому что городить запреты некаширно, винда так построена, и не знаеш что запрещать. Каширно запретить все, а городить только разрешения на порту, биндить мак на порт. Тогда чел хоть круть, хоть верть, или ставит свой мак и получает доступ в сеть, или в сад, курить бамбук. Будет с этим маком ип менять, тут даже примитивные скрипты его раззуют, да и финт с генерированием маков можно блокировать. Link to post Share on other sites
turbonet 0 Posted 2009-11-15 21:20:29 Author Share Posted 2009-11-15 21:20:29 Вообще, политика запрещения маков это гарячка, ну напишеш запретить тому и тому, чел поменяет себе мак и привет америка. Прийдется набивать 50-80 маков, только в век повальной комьютеризации и это гарячка, написал скрипт у билингу и кури бамбук, на здоровье. тут же опять все просто, поставить чужой мак-адрес - палка о двух концах... юзеру чей мак блокируется надо еще догадаться о причине... если уж он такой умный, тогда просто будет отключен кабель... а привязку ип+мак реализовать не получится, т.к. в сети дхсп Я у тому что городить запреты некаширно, винда так построена, и не знаеш что запрещать. Каширно запретить все, а городить только разрешения на порту, биндить мак на порт. Тогда чел хоть круть, хоть верть, или ставит свой мак и получает доступ в сеть, или в сад, курить бамбук. Будет с этим маком ип менять, тут даже примитивные скрипты его раззуют, да и финт с генерированием маков можно блокировать. ты видать не понял, фишка в том что на порту не один человек... на порту гирлянда свичей с общим кол-вом пользователей в 50-80... при таком варианте прошареный человечек найдет выход, если у тебя разрешено 50 маков в которые он не попадает, просто возьмет и заменет свой мак на мак соседа.... другой вариант еслиб он был на порту один, то тут и париться не надо отл и вся трагедия... Link to post Share on other sites
turbonet 0 Posted 2009-11-16 00:17:58 Author Share Posted 2009-11-16 00:17:58 решение оказалось проще простого) если кому интересно, пишите в личку Link to post Share on other sites
lan_info 2 Posted 2009-11-16 00:23:06 Share Posted 2009-11-16 00:23:06 решение оказалось проще простого) если кому интересно, пишите в личку Интересно, как решил проблему, Ты можешь написать прямо в топик. Link to post Share on other sites
stvol 4 Posted 2009-11-16 05:31:22 Share Posted 2009-11-16 05:31:22 решение оказалось проще простого) если кому интересно, пишите в личку Интересно, как решил проблему, Ты можешь написать прямо в топик. +1 что там за решение? Link to post Share on other sites
pavlabor 1,977 Posted 2009-11-16 06:05:31 Share Posted 2009-11-16 06:05:31 ты видать не понял, фишка в том что на порту не один человек... на порту гирлянда свичей с общим кол-вом пользователей в 50-80... при таком варианте прошареный человечек найдет выход, если у тебя разрешено 50 маков в которые он не попадает, просто возьмет и заменет свой мак на мак соседа.... другой вариант еслиб он был на порту один, то тут и париться не надо отл и вся трагедия... Все я понял. И писал что есть комматоры которые биндят один мак, а есть которые биндят список. На что ты ответил, мол влом тебе ручками 50-80 маков набивать. То есть уже на том етапе речь ишла о том что с тех 50-80 пользователей, какеру есть чем поживится. Link to post Share on other sites
turbonet 0 Posted 2009-11-16 09:35:06 Author Share Posted 2009-11-16 09:35:06 ACL через SHH пишем: create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF profile_id 1 config access_profile profile_id 1 add access_id 1 ethernet source_mac 00-11-22-33-44-55 port 1 deny создаем правило №.. profile_id 1 запрет на мак 00-11-22-33-44-55 на порту port 1 таким образом баним всего один ненужный мак... если у человечка хаватит мозга поменять на другой, то тут спасет только выключение кабеля из порта... Link to post Share on other sites
rtrt 59 Posted 2009-11-16 09:52:53 Share Posted 2009-11-16 09:52:53 То что я и говорил! Только вот ACLек на 3526 не так уж и много... А если учесть что нужно резать всякую хрень в сети, так их почти и не остается, так что проще использовать IP-MAC Link to post Share on other sites
turbonet 0 Posted 2009-11-16 11:09:40 Author Share Posted 2009-11-16 11:09:40 пока нет надобности что-то резать) ну а если знал как сделать, трудно было подсказать?) Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now