URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 10793
[ Назад ]
Исходное сообщение
"Выход в инет через NAT в для определнных MAC-адресов"
Отправлено Kan , 20-Июн-06 23:28 
Добрый время суток!

Есть задача и простой локалки через CIsco 877-K9 выпускать в инет только определенные машины.

Решил сделать правило для заворота в NAT примерно такое

ip nat inside source list 701 interface Dialer0 overload

access-list 701 permit 000b.5d93.5abf   0000.0000.0000

и работь данная конструкция не хочет.

Хотя при изменеии ACL на простые все работает.

Вобще такая задумка реализуема или нет

Содержание
Сообщения в этом обсуждении
"Выход в инет через NAT в для определнных MAC-адресов"
Отправлено vgray , 21-Июн-06 09:08 
>Добрый время суток!
>
>Есть задача и простой локалки через CIsco 877-K9 выпускать в инет только
>определенные машины.
>Решил сделать правило для заворота в NAT примерно такое
>ip nat inside source list 701 interface Dialer0 overload
>access-list 701 permit 000b.5d93.5abf   0000.0000.0000
>и работь данная конструкция не хочет.
>Хотя при изменеии ACL на простые все работает.
>Вобще такая задумка реализуема или нет

как вариант можно сделать так

ip nat inside source list 120 interface Dialer0 overload
access-list 120 permit ip host 192.168.10.15 any

arp 192.168.10.15 000b.5d93.5abf ARPA  

те пускать оп ip, и жестко привязать ip и mac.
если есть фича ip source guard то лучше воспользоваться ею, для привязки ip-mac

"Выход в инет через NAT в для определнных MAC-адресов"
Отправлено Kan , 21-Июн-06 09:51 
Спасибо за ответ.

Тогда встречный вопрос каким образом мне застваить эту сетевую карту с МАС адресом 000b.5d93.5abf получить от DHCP сервера которой настроен на этой=же Cisco именно
адрес 192.168.10.15.

Вот кусок конфига

ip dhcp excluded-address 192.168.10.1                                  
!
ip dhcp pool sdm-pool                    
   import all            
   network 192.168.10.0 255.255.255.240                                    
   default-router 192.168.10.1                                  
   domain-name work                            
   dns-server xxxxxxxxxxxx                        
   lease 0 2


interface FastEthernet0  
no ip address              
no cdp enable              


interface Vlan1              
description For users hotel                            
ip address 192.168.10.1 255.255.255.240                                      
ip tcp adjust-mss 1452                      

"Выход в инет через NAT в для определнных MAC-адресов"
Отправлено vgray , 21-Июн-06 10:29 
Сделать что-нить наподобии

ip dhcp excluded-address 192.168.10.1                                  
!
ip dhcp pool sdm-pool                    
   import all            
   network 192.168.10.0 255.255.255.240                                    
   default-router 192.168.10.1                                  
   domain-name work                            
   dns-server xxxxxxxxxxxx                        
   lease 0 2

ip dhcp pool sdm-pool-ip15
   host 192.168.10.15 255.255.255.240
   hardware-address 000b.5d93.5abf
   ....  остальные опции по вкусу

если не работае hardware-address, то видел рекомендации использовать вместо него client-identifier (особенно для виндовых машин), у него чуть другой синтаксис, уточните на сайте

"Выход в инет через NAT в для определнных MAC-адресов"
Отправлено Kan , 21-Июн-06 10:32 
Спасибо огромное за консультацию, сегодня вечером все попробую о результатах доложу.
"Выход в инет через NAT в для определнных MAC-адресов"
Отправлено Kan , 21-Июн-06 10:41 
Кстати, возник вопрос у моей карты МСА адрес 000b.5d93.5abf

А при sh dhcp bbind
cisco его показывает как
0100.0b5d.935a.bf

Почему так?

"Выход в инет через NAT в для определнных MAC-адресов"
Отправлено vgray , 21-Июн-06 11:19 
>Кстати, возник вопрос у моей карты МСА адрес 000b.5d93.5abf
>
>А при sh dhcp bbind
>cisco его показывает как
>0100.0b5d.935a.bf
>
>Почему так?


:) а разве я не говорил о том что о синтаксисе client-identifier нужно посмотреть на сайте циски?