turbonet 0 Опубликовано: 2009-11-14 18:09:55 Share Опубликовано: 2009-11-14 18:09:55 есть задача: блокировать доступ по mac адресу... Для этого есть des-3526 и des-1228. Подскажите как реализовать? Ссылка на сообщение Поделиться на других сайтах
alex_o 1 194 Опубліковано: 2009-11-14 19:36:57 Share Опубліковано: 2009-11-14 19:36:57 В 3526 для этих целей есть: 1. IMPB - IP-MAC-Port-Binding 2. Port Security 3. ACL 4. 802.1х Выбирайте что душе угодно. DES-1228 - симпатичная подставка под чашку кофе, если на него уши не прикручивать. Ссылка на сообщение Поделиться на других сайтах
lan_info 2 Опубліковано: 2009-11-14 23:31:50 Share Опубліковано: 2009-11-14 23:31:50 В 3526 для этих целей есть: 1. IMPB - IP-MAC-Port-Binding 2. Port Security 3. ACL 4. 802.1х Выбирайте что душе угодно. DES-1228 - симпатичная подставка под чашку кофе, если на него уши не прикручивать. А Вы какими функциями пользуетесь с описанных? И почему? Ссылка на сообщение Поделиться на других сайтах
turbonet 0 Опубліковано: 2009-11-14 23:34:10 Автор Share Опубліковано: 2009-11-14 23:34:10 не могли бы вы хоть кинуть ссылкой, как, что и для чего... ибо гуглю... полный 0... может не там смотрю? Ссылка на сообщение Поделиться на других сайтах
lan_info 2 Опубліковано: 2009-11-14 23:37:35 Share Опубліковано: 2009-11-14 23:37:35 не могли бы вы хоть кинуть ссылкой, как, что и для чего... ибо гуглю... полный 0... может не там смотрю? ГГГГ та тебе же написали как нужно блокировать. А вот описания как лучше блокировать не знаю. Порт секурити нормально справляется с задачей не прокускает пакеты мак адреса ненужного. Свичи 3526 - это бомба, по сравнению с ендкорами планетами - отдыхают. Никаких глюков небыло замечено за ними у меня не разу. Ссылка на сообщение Поделиться на других сайтах
QI_Can9 3 Опубліковано: 2009-11-14 23:46:14 Share Опубліковано: 2009-11-14 23:46:14 dlink.ru Ссылка на сообщение Поделиться на других сайтах
turbonet 0 Опубліковано: 2009-11-15 00:24:21 Автор Share Опубліковано: 2009-11-15 00:24:21 если я правильно понял, я могу залочить порт с талицей мак-адресов, которую свич изучил, и порт который я залочил не будет пускать пакеты от неизученных мак-адресов... немного не то чтобы хотелось... имеется свич 3526 от которого идут небольшие ветки с тупыми свичами, на которых висят абоны. Задача: блокировать мак-адреса абонов которые не произвели оплату... есть ли функция игнор на данные маки.... и таблица игнора...? прошу строго не судить, не силен в этом.. Ссылка на сообщение Поделиться на других сайтах
alex_o 1 194 Опубліковано: 2009-11-15 05:23:52 Share Опубліковано: 2009-11-15 05:23:52 В такой топологии это лучше делать не свичем, а сервером. Для freebsd есть ipguard, для linux ipsentinel, для windows не помню как называется, го тоже есть. Поиск по этому форуму рулит, уже не раз лбсуждалось. Ссылка на сообщение Поделиться на других сайтах
rtrt 53 Опубліковано: 2009-11-15 10:59:00 Share Опубліковано: 2009-11-15 10:59:00 Вам же ответили IP_MAC Port Binding На порт прописываете все маки клиентов(которые висят на этом порту), тех кто не заплатил удаляете или меняете ему порт Ссылка на сообщение Поделиться на других сайтах
turbonet 0 Опубліковано: 2009-11-15 11:31:47 Автор Share Опубліковано: 2009-11-15 11:31:47 я конечно понимаю... но на порту до 50-80 клиентов... вписать все маки это просто безумие... проще вписать 1 мак который игнорить и все... я спрашиваю не про то как это вообще делается, а конкретно - как сделать так что бы просто игнорились пару-тройку маков, без занесения остальных, которые не должны игнориться! ведь проще вписать 2-3 мака, чем штук 50-80... прошу набраться терпения и не высказываться категорично в мой адрес, всеголишь спрашиваю совета... если такого нет, киньте тогда в меня ссылкой на какое-либо HOWTO, за что буду очень признателен... Ссылка на сообщение Поделиться на других сайтах
е186 2 Опубліковано: 2009-11-15 11:46:45 Share Опубліковано: 2009-11-15 11:46:45 Такие вещи делаются на сервере вместе с биллингом. Если уже сеть построена 100% на "умных" коммутаторах, то тогда еще можно за неуплату тупо гасить порты этих абонентов. Ссылка на сообщение Поделиться на других сайтах
pavlabor 1 939 Опубліковано: 2009-11-15 12:16:50 Share Опубліковано: 2009-11-15 12:16:50 я конечно понимаю... но на порту до 50-80 клиентов... вписать все маки это просто безумие... проще вписать 1 мак который игнорить и все... я спрашиваю не про то как это вообще делается, а конкретно - как сделать так что бы просто игнорились пару-тройку маков, без занесения остальных, которые не должны игнориться! ведь проще вписать 2-3 мака, чем штук 50-80... прошу набраться терпения и не высказываться категорично в мой адрес, всеголишь спрашиваю совета... если такого нет, киньте тогда в меня ссылкой на какое-либо HOWTO, за что буду очень признателен... В некоторых коммутаторах есть выбор, - не фильтровать - разрешит те кто в списке - запретить те кто в списке но опять же, все зависит от модели коммутатора, по своей модели можеш написаить на сапорт длинка. Ссылка на сообщение Поделиться на других сайтах
maxx 202 Опубліковано: 2009-11-15 12:49:21 Share Опубліковано: 2009-11-15 12:49:21 я конечно понимаю... но на порту до 50-80 клиентов... вписать все маки это просто безумие... проще вписать 1 мак который игнорить и все... я спрашиваю не про то как это вообще делается, а конкретно - как сделать так что бы просто игнорились пару-тройку маков, без занесения остальных, которые не должны игнориться! ведь проще вписать 2-3 мака, чем штук 50-80... прошу набраться терпения и не высказываться категорично в мой адрес, всеголишь спрашиваю совета... если такого нет, киньте тогда в меня ссылкой на какое-либо HOWTO, за что буду очень признателен... Статикой привяжи мак на какой-то левый порт. А вообще конкретны ответы на такие вопросы спрашивают у гуля в первую очередь. Ссылка на сообщение Поделиться на других сайтах
rtrt 53 Опубліковано: 2009-11-15 13:09:37 Share Опубліковано: 2009-11-15 13:09:37 я конечно понимаю... но на порту до 50-80 клиентов... вписать все маки это просто безумие... проще вписать 1 мак который игнорить и все... я спрашиваю не про то как это вообще делается, а конкретно - как сделать так что бы просто игнорились пару-тройку маков, без занесения остальных, которые не должны игнориться! ведь проще вписать 2-3 мака, чем штук 50-80... прошу набраться терпения и не высказываться категорично в мой адрес, всеголишь спрашиваю совета... если такого нет, киньте тогда в меня ссылкой на какое-либо HOWTO, за что буду очень признателен... тогда с помощью ACL посылать неплательщиков подальше ))) Вопрос: Как разрешить на порту коммутатора серии DES-35XX один IP-адрес и запретить все остальные (без использования функции IP-MAC-Port Binding)? Ответ: Задача: Разрешить на порту 5 коммутатора DES-3526 прохождение трафика от компьютера с IP-адресом 192.168.1.1/24 и запретить всем остальным. При этом MAC-адрес компьютера не должен контролироваться. Настройка DES-3526: # Настройте разрешающее правило для IP-адреса 192.168.1.1/24 create access_profile ip source_ip_mask 255.255.255.255 profile_id 10 config access_profile profile_id 10 add access_id 1 ip source_ip 192.168.1.1 port 5 permit # Настройте запрещающее правило для всех остальных IP-адресов create access_profile ip source_ip_mask 0.0.0.0 profile_id 20 config access_profile profile_id 20 add access_id 2 ip source_ip 0.0.0.0 port 5 deny Примечание: Если необходимо разрешить определённые IP-адреса на других портах коммутатора, то следует добавить в эти же профили все остальные разрешающие и запрещающие правила с привязкой к другим портам. Читаем Ссылка на сообщение Поделиться на других сайтах
pavlabor 1 939 Опубліковано: 2009-11-15 14:10:36 Share Опубліковано: 2009-11-15 14:10:36 я конечно понимаю... но на порту до 50-80 клиентов... вписать все маки это просто безумие... проще вписать 1 мак который игнорить и все... я спрашиваю не про то как это вообще делается, а конкретно - как сделать так что бы просто игнорились пару-тройку маков, без занесения остальных, которые не должны игнориться! ведь проще вписать 2-3 мака, чем штук 50-80... прошу набраться терпения и не высказываться категорично в мой адрес, всеголишь спрашиваю совета... если такого нет, киньте тогда в меня ссылкой на какое-либо HOWTO, за что буду очень признателен... Вообще, политика запрещения маков это гарячка, ну напишеш запретить тому и тому, чел поменяет себе мак и привет америка. Прийдется набивать 50-80 маков, только в век повальной комьютеризации и это гарячка, написал скрипт у билингу и кури бамбук, на здоровье. Ссылка на сообщение Поделиться на других сайтах
turbonet 0 Опубліковано: 2009-11-15 16:40:04 Автор Share Опубліковано: 2009-11-15 16:40:04 я конечно понимаю... но на порту до 50-80 клиентов... вписать все маки это просто безумие... проще вписать 1 мак который игнорить и все... я спрашиваю не про то как это вообще делается, а конкретно - как сделать так что бы просто игнорились пару-тройку маков, без занесения остальных, которые не должны игнориться! ведь проще вписать 2-3 мака, чем штук 50-80... прошу набраться терпения и не высказываться категорично в мой адрес, всеголишь спрашиваю совета... если такого нет, киньте тогда в меня ссылкой на какое-либо HOWTO, за что буду очень признателен... я конечно понимаю... но на порту до 50-80 клиентов... вписать все маки это просто безумие... проще вписать 1 мак который игнорить и все... я спрашиваю не про то как это вообще делается, а конкретно - как сделать так что бы просто игнорились пару-тройку маков, без занесения остальных, которые не должны игнориться! ведь проще вписать 2-3 мака, чем штук 50-80... прошу набраться терпения и не высказываться категорично в мой адрес, всеголишь спрашиваю совета... если такого нет, киньте тогда в меня ссылкой на какое-либо HOWTO, за что буду очень признателен... Вообще, политика запрещения маков это гарячка, ну напишеш запретить тому и тому, чел поменяет себе мак и привет америка. Прийдется набивать 50-80 маков, только в век повальной комьютеризации и это гарячка, написал скрипт у билингу и кури бамбук, на здоровье. тут же опять все просто, поставить чужой мак-адрес - палка о двух концах... юзеру чей мак блокируется надо еще догадаться о причине... если уж он такой умный, тогда просто будет отключен кабель... а привязку ип+мак реализовать не получится, т.к. в сети дхсп Ссылка на сообщение Поделиться на других сайтах
pavlabor 1 939 Опубліковано: 2009-11-15 20:29:51 Share Опубліковано: 2009-11-15 20:29:51 Вообще, политика запрещения маков это гарячка, ну напишеш запретить тому и тому, чел поменяет себе мак и привет америка. Прийдется набивать 50-80 маков, только в век повальной комьютеризации и это гарячка, написал скрипт у билингу и кури бамбук, на здоровье. тут же опять все просто, поставить чужой мак-адрес - палка о двух концах... юзеру чей мак блокируется надо еще догадаться о причине... если уж он такой умный, тогда просто будет отключен кабель... а привязку ип+мак реализовать не получится, т.к. в сети дхсп Я у тому что городить запреты некаширно, винда так построена, и не знаеш что запрещать. Каширно запретить все, а городить только разрешения на порту, биндить мак на порт. Тогда чел хоть круть, хоть верть, или ставит свой мак и получает доступ в сеть, или в сад, курить бамбук. Будет с этим маком ип менять, тут даже примитивные скрипты его раззуют, да и финт с генерированием маков можно блокировать. Ссылка на сообщение Поделиться на других сайтах
turbonet 0 Опубліковано: 2009-11-15 21:20:29 Автор Share Опубліковано: 2009-11-15 21:20:29 Вообще, политика запрещения маков это гарячка, ну напишеш запретить тому и тому, чел поменяет себе мак и привет америка. Прийдется набивать 50-80 маков, только в век повальной комьютеризации и это гарячка, написал скрипт у билингу и кури бамбук, на здоровье. тут же опять все просто, поставить чужой мак-адрес - палка о двух концах... юзеру чей мак блокируется надо еще догадаться о причине... если уж он такой умный, тогда просто будет отключен кабель... а привязку ип+мак реализовать не получится, т.к. в сети дхсп Я у тому что городить запреты некаширно, винда так построена, и не знаеш что запрещать. Каширно запретить все, а городить только разрешения на порту, биндить мак на порт. Тогда чел хоть круть, хоть верть, или ставит свой мак и получает доступ в сеть, или в сад, курить бамбук. Будет с этим маком ип менять, тут даже примитивные скрипты его раззуют, да и финт с генерированием маков можно блокировать. ты видать не понял, фишка в том что на порту не один человек... на порту гирлянда свичей с общим кол-вом пользователей в 50-80... при таком варианте прошареный человечек найдет выход, если у тебя разрешено 50 маков в которые он не попадает, просто возьмет и заменет свой мак на мак соседа.... другой вариант еслиб он был на порту один, то тут и париться не надо отл и вся трагедия... Ссылка на сообщение Поделиться на других сайтах
turbonet 0 Опубліковано: 2009-11-16 00:17:58 Автор Share Опубліковано: 2009-11-16 00:17:58 решение оказалось проще простого) если кому интересно, пишите в личку Ссылка на сообщение Поделиться на других сайтах
lan_info 2 Опубліковано: 2009-11-16 00:23:06 Share Опубліковано: 2009-11-16 00:23:06 решение оказалось проще простого) если кому интересно, пишите в личку Интересно, как решил проблему, Ты можешь написать прямо в топик. Ссылка на сообщение Поделиться на других сайтах
stvol 4 Опубліковано: 2009-11-16 05:31:22 Share Опубліковано: 2009-11-16 05:31:22 решение оказалось проще простого) если кому интересно, пишите в личку Интересно, как решил проблему, Ты можешь написать прямо в топик. +1 что там за решение? Ссылка на сообщение Поделиться на других сайтах
pavlabor 1 939 Опубліковано: 2009-11-16 06:05:31 Share Опубліковано: 2009-11-16 06:05:31 ты видать не понял, фишка в том что на порту не один человек... на порту гирлянда свичей с общим кол-вом пользователей в 50-80... при таком варианте прошареный человечек найдет выход, если у тебя разрешено 50 маков в которые он не попадает, просто возьмет и заменет свой мак на мак соседа.... другой вариант еслиб он был на порту один, то тут и париться не надо отл и вся трагедия... Все я понял. И писал что есть комматоры которые биндят один мак, а есть которые биндят список. На что ты ответил, мол влом тебе ручками 50-80 маков набивать. То есть уже на том етапе речь ишла о том что с тех 50-80 пользователей, какеру есть чем поживится. Ссылка на сообщение Поделиться на других сайтах
turbonet 0 Опубліковано: 2009-11-16 09:35:06 Автор Share Опубліковано: 2009-11-16 09:35:06 ACL через SHH пишем: create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF profile_id 1 config access_profile profile_id 1 add access_id 1 ethernet source_mac 00-11-22-33-44-55 port 1 deny создаем правило №.. profile_id 1 запрет на мак 00-11-22-33-44-55 на порту port 1 таким образом баним всего один ненужный мак... если у человечка хаватит мозга поменять на другой, то тут спасет только выключение кабеля из порта... Ссылка на сообщение Поделиться на других сайтах
rtrt 53 Опубліковано: 2009-11-16 09:52:53 Share Опубліковано: 2009-11-16 09:52:53 То что я и говорил! Только вот ACLек на 3526 не так уж и много... А если учесть что нужно резать всякую хрень в сети, так их почти и не остается, так что проще использовать IP-MAC Ссылка на сообщение Поделиться на других сайтах
turbonet 0 Опубліковано: 2009-11-16 11:09:40 Автор Share Опубліковано: 2009-11-16 11:09:40 пока нет надобности что-то резать) ну а если знал как сделать, трудно было подсказать?) Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас