URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 14022
[ Назад ]

Исходное сообщение
"Ограничить злодея по маку"
Отправлено max90 , 20-Июл-07 11:57

Доброго времени суток! Уважаемые гуру, подскажите, потому как опыт настройки cisco сравнительно небольшой. Обнаружил зловредителя в сети, хочу ограничить его по mac-адресу.
Пишу..
c2960(config)#mac access-list extended test
c2960(config-ext-macl)#deny host 0016.e665.2bcb any
c2960(config-ext-macl)#exit
c2960(config)#int fa0/17
c2960(config-if)#mac access-group test in
c2960(config-if)#exit
Все работает, но при условии что у нарушителя пустая arp таблица, если ли же в арп таблице присутствует статическая или динамическая запись то нарушитель обходит mac access-list. Неужели циска фильтрует только arp протокол ? Как отключить по маку, что бы наверника :)
Буду весьма благодарен. Спасибо!

Содержание

Ограничить злодея по маку,sz, 12:17 , 20-Июл-07
- Ограничить злодея по маку,Andrew, 22:53 , 23-Июл-07
Ограничить злодея по маку,vgray, 07:17 , 23-Июл-07
- Ограничить злодея по маку,max90, 22:21 , 23-Июл-07
Ограничить злодея по маку,fenix2, 01:47 , 25-Июл-07
- Ограничить злодея по маку,fenix2, 01:47 , 25-Июл-07
- Ограничить злодея по маку,max90, 11:20 , 26-Июл-07
Ограничить злодея по маку,SergTel, 17:31 , 25-Июл-07
- Ограничить злодея по маку,max90, 11:22 , 26-Июл-07
  - Ограничить злодея по маку,fenix2, 16:36 , 26-Июл-07

Сообщения в этом обсуждении

"Ограничить злодея по маку"
Отправлено sz , 20-Июл-07 12:17

>[оверквотинг удален]
>c2960(config-ext-macl)#exit
>c2960(config)#int fa0/17
>c2960(config-if)#mac access-group test in
>c2960(config-if)#exit
>
>Все работает, но при условии что у нарушителя пустая arp таблица, если
>ли же в арп таблице присутствует статическая или динамическая запись то
>нарушитель обходит mac access-list. Неужели циска фильтрует только arp протокол ?
>Как отключить по маку, что бы наверника :)
>Буду весьма благодарен. Спасибо!
Использовать port-security?

"Ограничить злодея по маку"
Отправлено Andrew , 23-Июл-07 22:53

>>Как отключить по маку, что бы наверника :)
>Использовать port-security?
не поможет. Порт секурити сработает еслик этому порту будет подключено устройство с дрйгим маком. Варианты возможных действий можно выбрать.

"Ограничить злодея по маку"
Отправлено vgray , 23-Июл-07 07:17

>[оверквотинг удален]
>c2960(config)#mac access-list extended test
>c2960(config-ext-macl)#deny host 0016.e665.2bcb any
>c2960(config-ext-macl)#exit
>c2960(config)#int fa0/17
>c2960(config-if)#mac access-group test in
>c2960(config-if)#exit
>
>Все работает, но при условии что у нарушителя пустая arp таблица, если
>ли же в арп таблице присутствует статическая или динамическая запись то
>нарушитель обходит mac access-list. Неужели циска фильтрует только arp протокол ?
из документации
On Layer 2 interfaces, you can filter IP traffic by using IP access lists and non-IP traffic by using MAC access lists. You can filter both IP and non-IP traffic on the same Layer 2 interface by applying both an IP ACL and a MAC ACL to the interface. You can apply no more than one IP access list and one MAC access list to the same Layer 2 interface.
ключевое слово non-IP

"Ограничить злодея по маку"
Отправлено max90 , 23-Июл-07 22:21

>[оверквотинг удален]
>
>On Layer 2 interfaces, you can filter IP traffic by using IP
>access lists and non-IP traffic by using MAC access lists. You
>can filter both IP and non-IP traffic on the same Layer
>2 interface by applying both an IP ACL and a MAC
>ACL to the interface. You can apply no more than one
>IP access list and one MAC access list to the same
>Layer 2 interface.
>
>ключевое слово non-IP
Насколько я знаю, IP - Layer3, MAC-Address(Ethernet) - Layer2, второй уровень это естественно не IP.

"Ограничить злодея по маку"
Отправлено fenix2 , 25-Июл-07 01:47

>[оверквотинг удален]
>c2960(config-ext-macl)#exit
>c2960(config)#int fa0/17
>c2960(config-if)#mac access-group test in
>c2960(config-if)#exit
>
>Все работает, но при условии что у нарушителя пустая arp таблица, если
>ли же в арп таблице присутствует статическая или динамическая запись то
>нарушитель обходит mac access-list. Неужели циска фильтрует только arp протокол ?
>Как отключить по маку, что бы наверника :)
>Буду весьма благодарен. Спасибо!
попробуй в acl дописать еще 1 строчку "permit any any" ато невидимая последняя строчка "deny any any" и попинговать не сам свич, а что то за ним.

"Ограничить злодея по маку"
Отправлено fenix2 , 25-Июл-07 01:47

>[оверквотинг удален]
>>
>>Все работает, но при условии что у нарушителя пустая arp таблица, если
>>ли же в арп таблице присутствует статическая или динамическая запись то
>>нарушитель обходит mac access-list. Неужели циска фильтрует только arp протокол ?
>>Как отключить по маку, что бы наверника :)
>>Буду весьма благодарен. Спасибо!
>
>попробуй в acl дописать еще 1 строчку "permit any any" ато невидимая
>последняя строчка "deny any any" и попинговать не сам свич, а
>что то за ним.
и не забывай что mac тоже мона поменять =)

"Ограничить злодея по маку"
Отправлено max90 , 26-Июл-07 11:20

>[оверквотинг удален]
>>
>>Все работает, но при условии что у нарушителя пустая arp таблица, если
>>ли же в арп таблице присутствует статическая или динамическая запись то
>>нарушитель обходит mac access-list. Неужели циска фильтрует только arp протокол ?
>>Как отключить по маку, что бы наверника :)
>>Буду весьма благодарен. Спасибо!
>
>попробуй в acl дописать еще 1 строчку "permit any any" ато невидимая
>последняя строчка "deny any any" и попинговать не сам свич, а
>что то за ним.
deny any any, дописывал, эффект тот же, пингую конечно не сам свич.

"Ограничить злодея по маку"
Отправлено SergTel , 25-Июл-07 17:31

>[оверквотинг удален]
>c2960(config-ext-macl)#exit
>c2960(config)#int fa0/17
>c2960(config-if)#mac access-group test in
>c2960(config-if)#exit
>
>Все работает, но при условии что у нарушителя пустая arp таблица, если
>ли же в арп таблице присутствует статическая или динамическая запись то
>нарушитель обходит mac access-list. Неужели циска фильтрует только arp протокол ?
>Как отключить по маку, что бы наверника :)
>Буду весьма благодарен. Спасибо!
данный хост подключен к киске или простому хабу? если к киске то порт засшутить, если к хабу то ACL mac- и мониторить порт на возможную смену mac-

"Ограничить злодея по маку"
Отправлено max90 , 26-Июл-07 11:22

>[оверквотинг удален]
>>
>>Все работает, но при условии что у нарушителя пустая arp таблица, если
>>ли же в арп таблице присутствует статическая или динамическая запись то
>>нарушитель обходит mac access-list. Неужели циска фильтрует только arp протокол ?
>>Как отключить по маку, что бы наверника :)
>>Буду весьма благодарен. Спасибо!
>
>данный хост подключен к киске или простому хабу? если к киске то
>порт засшутить, если к хабу то ACL mac- и мониторить порт
>на возможную смену mac-
если бы к циске напряму был подключен порт в shutdown положил бы и делов то.., местные еще не знаю что мак можно менять :)
Вообщем загадка, до сих пор не разобрался :((

"Ограничить злодея по маку"
Отправлено fenix2 , 26-Июл-07 16:36

>Вообщем загадка, до сих пор не разобрался :((
попробуй еще vlan access-map
Switch(config)#mac access-list extended deny_bad
Switch(config-ext-nacl)#permit host 0000.861f.3745 host any [да, тут permit]
Switch(config-ext-nacl)#permit any any
Switch(config-ext-nacl)#end
Switch(config)#vlan access-map block_bad 10
Switch (config-access-map)#action drop
Switch (config-access-map)#match mac address deny_bad
Switch(config)#vlan access-map block_arp 20
Switch (config-access-map)#action forward
Switch(config)#vlan filter block_bad vlan-list 1 [или какой там влан]