Melanxolik 63 Posted 2011-11-25 09:04:38 Share Posted 2011-11-25 09:04:38 Собственно задача для кого-то банальная, но для меня пока еще остается с вопросами. Из-за того что приходится отказываться от ip port snoop binding, нужно нарисовать как это разруливается через acl как это видится сейчас: create access_profile ip source_ip_mask 255.255.255.255 profile_id 10 config access_profile profile_id 10 add access_id 1 ip source_ip 192.168.50.1 port 1 permit config access_profile profile_id 10 add access_id 1 ip source_ip 192.168.50.2 port 2 permit config access_profile profile_id 10 add access_id 1 ip source_ip 192.168.50.3 port 3 permit config access_profile profile_id 10 add access_id 1 ip source_ip 192.168.50.4 port 4 permit config access_profile profile_id 10 add access_id 1 ip source_ip 192.168.50.5 port 5 permit config access_profile profile_id 10 add access_id 1 ip source_ip 192.168.50.6 port 6 permit config access_profile profile_id 10 add access_id 1 ip source_ip 192.168.50.7 port 7 permit config access_profile profile_id 10 add access_id 1 ip source_ip 192.168.50.8 port 8 permit дальше вроде как: # Настройте запрещающее правило для всех остальных IP-адресов create access_profile ip source_ip_mask 0.0.0.0 profile_id 20 config access_profile profile_id 20 add access_id 2 ip source_ip 0.0.0.0 port 5 deny Но тут вопрос, как из правильно прописать и как обеспечить корректность прохождения dhcp запросов на uplink порты от клиентов. Помогите плиз, а то голова с утра не варит и кофе закончилось. Link to post Share on other sites
hellion 4 Posted 2011-11-25 11:04:09 Share Posted 2011-11-25 11:04:09 http://wiki.m-tel.ne...8%D0%B5-%D0%BF/ работает на 3525 и 3200 сериях Link to post Share on other sites
Melanxolik 63 Posted 2011-11-25 11:29:06 Author Share Posted 2011-11-25 11:29:06 Я вот мозгую, а при option 82, по сути эти acl не нужны, достаточно обрезать все лишнее.? Link to post Share on other sites
hellion 4 Posted 2011-11-25 11:40:24 Share Posted 2011-11-25 11:40:24 option 82 не использую, не скажу поможет ли она, а acl у меня на всех длинках настроен. работает 100%, левие дхсп не пропускает, только те что с аплинка приходят принимает. Link to post Share on other sites
Melanxolik 63 Posted 2011-11-25 13:52:12 Author Share Posted 2011-11-25 13:52:12 Возникла трабла, с клиентского порта походу валят адреса внутренней сети, как можно отдельно прослушать что приходит с клиентского порта если все клиентские порты находятся в одном общем vlan в пределах одного свича. неужели только выделять порт в отдельный vlan и тащить на сервер чтобы там сделать ему tcpdump? Link to post Share on other sites
QI_Can9 3 Posted 2011-11-25 20:25:55 Share Posted 2011-11-25 20:25:55 Что значит "валят адреса внутренней сети"? Link to post Share on other sites
Melanxolik 63 Posted 2011-11-26 06:11:58 Author Share Posted 2011-11-26 06:11:58 это когда на с интерфейса клиента к тебе приходят не то что 192. а в обще 10.0 Link to post Share on other sites
hellion 4 Posted 2011-11-26 06:15:30 Share Posted 2011-11-26 06:15:30 это когда на с интерфейса клиента к тебе приходят не то что 192. а в обще 10.0 я же ссылку дал как запретить средствами ацл, левые дхсп... Link to post Share on other sites
Melanxolik 63 Posted 2011-11-27 20:42:20 Author Share Posted 2011-11-27 20:42:20 да при чем здесь именно dhcp? клиент не сервер свой выставил в сеть провайдера, клиент пытается под левым каким-то ip вылезти в сеть. Link to post Share on other sites
hellion 4 Posted 2011-11-28 06:46:44 Share Posted 2011-11-28 06:46:44 да при чем здесь именно dhcp? клиент не сервер свой выставил в сеть провайдера, клиент пытается под левым каким-то ip вылезти в сеть. тогда IP-MAC-Port Binding используйте. тоже работает. лично проверено. Link to post Share on other sites
QI_Can9 3 Posted 2011-11-28 06:54:32 Share Posted 2011-11-28 06:54:32 create access_profile ip source_ip_mask 255.255.255.255 profile_id 10 config access_profile profile_id 10 add access_id 1 ip source_ip 192.168.50.1 port 1 permit это правело разрешает только этот айпи на только этот порт. Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now