URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 7348
[ Назад ]

Исходное сообщение
"Catalyst access-list"
Отправлено onorua , 24-Фев-05 19:34

Здравствуйте. Я столкнулся с проблемой. Есть свич catalyst 2950, и есть router 2650. Мне нужно запретить выход в мир только одному компьютеру, если я настраиваю access-list на роутере - скорость немного падает, это понятно, задержки при проверке каждого пакета. Я решил урезать ему доступ еще на свиче. Свичи я так понимаю, работают на 2-м уровне, значит нужно делать это с помощью MAC, но как? Проблема в том, что запретить выходить в мир а не вообще доступ к локальной сети. Помогите, если кто-то знает как это лучше организовать.

Содержание

Catalyst access-list,Rodion, 19:43 , 24-Фев-05
- Catalyst access-list,onorua, 20:38 , 24-Фев-05
  - Catalyst access-list,Rodion, 12:52 , 25-Фев-05

Сообщения в этом обсуждении

"Catalyst access-list"
Отправлено Rodion , 24-Фев-05 19:43

>Здравствуйте. Я столкнулся с проблемой. Есть свич catalyst 2950, и есть router
>2650. Мне нужно запретить выход в мир только одному компьютеру, если
>я настраиваю access-list на роутере - скорость немного падает, это понятно,
>задержки при проверке каждого пакета. Я решил урезать ему доступ еще
>на свиче. Свичи я так понимаю, работают на 2-м уровне, значит
>нужно делать это с помощью MAC, но как? Проблема в том,
>что запретить выходить в мир а не вообще доступ к локальной
>сети. Помогите, если кто-то знает как это лучше организовать.

ACL na swiche 2-go urovna i na 3-m urovne otlichno stavitsa i rabotaet. Ne somnevaytes!

"Catalyst access-list"
Отправлено onorua , 24-Фев-05 20:38

>ACL na swiche 2-go urovna i na 3-m urovne otlichno stavitsa i
>rabotaet. Ne somnevaytes!
Мой свич не поддерживает ip фильтрацию. Так просто в документации написано. я подумал, что было бы не плохо фильтровать на уровне MAC доступ к порту, к которому подключенм роутер, но! port security - на сколько я читал, поддержтвает, только фильтрацию на вход. Что значит, что машина или вообще не сможет пользоваться сетью или сможет пользоваться всей сетью!
Я или вас не понял, или понял не правильно. Уточните пожалуйста, в какую сторону мне смотреть?

"Catalyst access-list"
Отправлено Rodion , 25-Фев-05 12:52

>>ACL na swiche 2-go urovna i na 3-m urovne otlichno stavitsa i
>>rabotaet. Ne somnevaytes!
>
>Мой свич не поддерживает ip фильтрацию. Так просто в документации написано. я
>подумал, что было бы не плохо фильтровать на уровне MAC доступ
>к порту, к которому подключенм роутер, но! port security - на
>сколько я читал, поддержтвает, только фильтрацию на вход. Что значит, что
>машина или вообще не сможет пользоваться сетью или сможет пользоваться всей
>сетью!
>
>Я или вас не понял, или понял не правильно. Уточните пожалуйста, в
>какую сторону мне смотреть?
Dla nachala nado opredelitsa chto u vas tam - IOS ili CLI ? Esli IOS (u nas 12.1(11) )- na swiche est' vozmognost' stavit ACL, prichem kak standard tak i extended. Naschet CLI -poka ne silen - v gizni ne prihodilos' mnogo stalkivatsa. No eta filtraziya deystvitelno horosha tolko dla polnoy blokirovki traffika.
Kstati - esli rech idet o skorosti - to na swithche filtraziya eshe medlennee rabotaet - naskolko zamecheno. A vot vasha 2600 v filtrazii tormozit' ne dolgna osobo.Tem bolee-esli zadacha prosto narugu ne puskat'. Zablokiruyte na vhodyashem interfeyse - i vseh delov!
U nas 2651xm s 128Mb RAM tashit na sebe vse 4 seriala,1E1, v serialah QOS prichem ne ochen "prostoy" dla routera - i ko vsemu eshe ACL na Fa. Spravlaetsa - tormogeniya ne zamecheno...