URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 9366
[ Назад ]

Исходное сообщение
"Блокировка по мас-адресу"
Отправлено Linuzs , 08-Дек-05 15:42

Как блокировать по мас-адресу у меня сisco 3640???? Заранее спасибо!!!!

Содержание

Блокировка по мас-адресу,sbgray, 21:01 , 08-Дек-05
- Блокировка по мас-адресу,Linuzs, 23:34 , 08-Дек-05
  - Блокировка по мас-адресу,sbgray, 23:50 , 08-Дек-05
    - Блокировка по мас-адресу,Linuzs, 05:23 , 09-Дек-05
      - Блокировка по мас-адресу,ronaldo, 06:22 , 09-Дек-05
        
        Блокировка по мас-адресу,Linuzs, 06:27 , 09-Дек-05
        
        Блокировка по мас-адресу,Linuzs, 07:17 , 09-Дек-05
        
        Блокировка по мас-адресу,Изгой, 09:32 , 09-Дек-05
        
        Блокировка по мас-адресу,Linuzs, 13:25 , 21-Дек-05
        
        Блокировка по мас-адресу,Изгой, 16:15 , 21-Дек-05
        
        Блокировка по мас-адресу,Linuzs, 14:36 , 22-Дек-05
        
        Блокировка по мас-адресу,Изгой, 15:28 , 22-Дек-05
        
        Блокировка по мас-адресу,Linuzs, 13:08 , 23-Дек-05
        
        Блокировка по мас-адресу,nikl, 13:11 , 23-Дек-05
        
        Блокировка по мас-адресу,Linuzs, 13:15 , 23-Дек-05
        
        Блокировка по мас-адресу,nikl, 13:28 , 23-Дек-05
        
        Блокировка по мас-адресу,Linuzs, 13:46 , 23-Дек-05
        
        Блокировка по мас-адресу,Linuzs, 13:49 , 23-Дек-05
        
        Блокировка по мас-адресу,Сайко, 14:19 , 23-Дек-05
        
        Блокировка по мас-адресу,Linuzs, 14:30 , 23-Дек-05
        
        Блокировка по мас-адресу,Изгой, 15:17 , 23-Дек-05
        
        Блокировка по мас-адресу,Сайко, 15:39 , 23-Дек-05
        
        Блокировка по мас-адресу,Изгой, 16:53 , 23-Дек-05
        
        Блокировка по мас-адресу,Linuzs, 19:03 , 30-Дек-05
        
        Блокировка по мас-адресу,Linuzs, 20:11 , 25-Дек-05

Сообщения в этом обсуждении

"Блокировка по мас-адресу"
Отправлено sbgray , 08-Дек-05 21:01

>Как блокировать по мас-адресу у меня сisco 3640???? Заранее спасибо!!!!

Используй access-list с номерами:
<1100-1199> Extended 48-bit MAC address access list
<700-799> 48-bit MAC address access list

"Блокировка по мас-адресу"
Отправлено Linuzs , 08-Дек-05 23:34

>>Как блокировать по мас-адресу у меня сisco 3640???? Заранее спасибо!!!!
>
>
>Используй access-list с номерами:
><1100-1199> Extended 48-bit MAC address access list
><700-799> 48-bit MAC address access list
то-есть если в систему приходить этот мас сиско автоматом непризнает его...

"Блокировка по мас-адресу"
Отправлено sbgray , 08-Дек-05 23:50

access-list можно использовать на интерфейсе твоего маршрутизатора
соответственно можно блокировать трафик проходящий через маршрутизатор.
Поточней вопрос задай?
А то получается что у тебя есть система в неё приходит мак-адрес, а еще есть где то в шкуфу cisco 3640 и сиско автоматом непризнает его...
Слушай уже 23:50
может спать пора нам обоим
;)

"Блокировка по мас-адресу"
Отправлено Linuzs , 09-Дек-05 05:23

Дело в том, что есть халявние клиенты я и их хочу заблокировать, как мне быть. тот кто сидит у меня ip-адрес он подбирает, все ip-адресса 85-90% я прописал по мас адрессу. моя цель заблокировать его по мас-у.

"Блокировка по мас-адресу"
Отправлено ronaldo , 09-Дек-05 06:22

>Дело в том, что есть халявние клиенты я и их хочу заблокировать,
>как мне быть. тот кто сидит у меня ip-адрес он подбирает,
>все ip-адресса 85-90% я прописал по мас адрессу. моя цель заблокировать
>его по мас-у.
Ну так бери access-list запрещай прохождение нужных mac адресов и разрешай все остальные и вешай на интерфейс access-list. Но это проблему не решит. Если клиент умный он поменяет мак у себя и снова будет юзать инет. Лучше разреши прохождение нужных маков и запрети все остальные.

"Блокировка по мас-адресу"
Отправлено Linuzs , 09-Дек-05 06:27

>>Дело в том, что есть халявние клиенты я и их хочу заблокировать,
>>как мне быть. тот кто сидит у меня ip-адрес он подбирает,
>>все ip-адресса 85-90% я прописал по мас адрессу. моя цель заблокировать
>>его по мас-у.
>Ну так бери access-list запрещай прохождение нужных mac адресов и разрешай все
>остальные и вешай на интерфейс access-list. Но это проблему не решит.
>Если клиент умный он поменяет мак у себя и снова будет
>юзать инет. Лучше разреши прохождение нужных маков и запрети все остальные.
>
а это как нужно установить.

"Блокировка по мас-адресу"
Отправлено Linuzs , 09-Дек-05 07:17

а это как нужно установить. Приведи пример как...

"Блокировка по мас-адресу"
Отправлено Изгой , 09-Дек-05 09:32

>а это как нужно установить. Приведи пример как...

Вообще такие привязки к интерфейсу в паре надо делать ,мак-айпи адресс , то есть за определённым мак адрессом закреплён опредёлённый айпи адресс , но и это не спасёт отца русской демократии, если клиент умный он подменит и мак и айпи, афторизация нужна , я имею ввиду подменит мак и айпи на мак и айпи правильного клиента. И вообще если сговориться то можно по проксе от одного клиента всем ходить , если скорость позволит.

"Блокировка по мас-адресу"
Отправлено Linuzs , 21-Дек-05 13:25

>>а это как нужно установить. Приведи пример как...
>
>
>Вообще такие привязки к интерфейсу в паре надо делать ,мак-айпи адресс ,
>то есть за определённым мак адрессом закреплён опредёлённый айпи адресс ,
>но и это не спасёт отца русской демократии, если клиент умный
>он подменит и мак и айпи, афторизация нужна , я имею
>ввиду подменит мак и айпи на мак и айпи правильного клиента.
>И вообще если сговориться то можно по проксе от одного клиента
>всем ходить , если скорость позволит.

spasibo brat za soveti no dly menya procxy ne poydyot, tak kak u menya real'niye ip adressa. kak vne sozdat accsess list ya proboval sozdat no nereshilsya, potomuchto v sluchae zbya u menya netu rezervnogo cisco. kak mne bit.

"Блокировка по мас-адресу"
Отправлено Изгой , 21-Дек-05 16:15

>>>а это как нужно установить. Приведи пример как...
>>
>>
>>Вообще такие привязки к интерфейсу в паре надо делать ,мак-айпи адресс ,
>>то есть за определённым мак адрессом закреплён опредёлённый айпи адресс ,
>>но и это не спасёт отца русской демократии, если клиент умный
>>он подменит и мак и айпи, афторизация нужна , я имею
>>ввиду подменит мак и айпи на мак и айпи правильного клиента.
>>И вообще если сговориться то можно по проксе от одного клиента
>>всем ходить , если скорость позволит.
>
>
>spasibo brat za soveti no dly menya procxy ne poydyot, tak kak
>u menya real'niye ip adressa. kak vne sozdat accsess list ya
>proboval sozdat no nereshilsya, potomuchto v sluchae zbya u menya netu
>rezervnogo cisco. kak mne bit.
Sh run

"Блокировка по мас-адресу"
Отправлено Linuzs , 22-Дек-05 14:36

НУ а потом?

"Блокировка по мас-адресу"
Отправлено Изгой , 22-Дек-05 15:28

>НУ а потом?
Я грю покажи sh run , на каком уровне у тебя интерфейсы работают на 3, я вот вчера пробывал делать на маршрутизаторе вставлять мак акцесс лист не ставиться , может надо переводить на второй уровень, настраивать бридж , с вланами , а может и вланов будет достаточно, в общем задаёться это всё хозяйство как говорилось
700-799 - по 48-битным MAC-адресам
1100-1199 - по 48-битным MAC-адресам
но это второй уровень модели оси ,
посмотри у тебя что выдаеться на интерфейсе по ? какие команды
, к примеру ip acc group , а что писать для задания мак листа на интерфейс фиг знает , смотреть надо и пробывать.
Может кто ещё чего подскажет.

"Блокировка по мас-адресу"
Отправлено Linuzs , 23-Дек-05 13:08

Вот эта фигня ни как немогу запустить
3640(config)#access-list <700
3640(config)#access-list <700-799>?
% Unrecognized command
3640(config)#access-list <700-799>
                         ^
% Invalid input detected at '^' marker.

3640(config)#access-list <1100-1199>
                         ^
% Invalid input detected at '^' marker.

3640(config)#access-list <1100-1199>
                         ^
% Invalid input detected at '^' marker.

3640(config)#access-list
% Incomplete command.

3640(config)#access-list

"Блокировка по мас-адресу"
Отправлено nikl , 23-Дек-05 13:11

>Вот эта фигня ни как немогу запустить
>
>3640(config)#access-list <700
>3640(config)#access-list <700-799>?
пиши так:
3640(config)#access-list 700 ?

"Блокировка по мас-адресу"
Отправлено Linuzs , 23-Дек-05 13:15

>>Вот эта фигня ни как немогу запустить
>>
>>3640(config)#access-list <700
>>3640(config)#access-list <700-799>?
>
>пиши так:
>
>3640(config)#access-list 700 ?

3640(config)#access-list 700 ?
  deny    Specify packets to reject
  permit  Specify packets to forward

3640(config)#access-list 700 de
3640(config)#access-list 700 deny ?
  H.H.H  48-bit hardware address
после это задать мас или ?

"Блокировка по мас-адресу"
Отправлено nikl , 23-Дек-05 13:28

>>>Вот эта фигня ни как немогу запустить
>>>
>>>3640(config)#access-list <700
>>>3640(config)#access-list <700-799>?
>>
>>пиши так:
>>
>>3640(config)#access-list 700 ?
>
>
>3640(config)#access-list 700 ?
>  deny    Specify packets to reject
>  permit  Specify packets to forward
>
>3640(config)#access-list 700 de
>3640(config)#access-list 700 deny ?
>  H.H.H  48-bit hardware address
>после это задать мас или ?

знак '?' у тебя не получится ввести все равно =)
пиши MAC в виде xxxx.xxxx.xxxx
а '?' это указание циске дать подсказку, что бы еще можно ввести.

"Блокировка по мас-адресу"
Отправлено Linuzs , 23-Дек-05 13:46

>>>>Вот эта фигня ни как немогу запустить
>>>>
>>>>3640(config)#access-list <700
>>>>3640(config)#access-list <700-799>?
>>>
>>>пиши так:
>>>
>>>3640(config)#access-list 700 ?
>>
>>
>>3640(config)#access-list 700 ?
>>  deny    Specify packets to reject
>>  permit  Specify packets to forward
>>
>>3640(config)#access-list 700 de
>>3640(config)#access-list 700 deny ?
>>  H.H.H  48-bit hardware address
>>после это задать мас или ?
>
>
>знак '?' у тебя не получится ввести все равно =)
>пиши MAC в виде xxxx.xxxx.xxxx
>
>а '?' это указание циске дать подсказку, что бы еще можно ввести.
>
вот так access-list 700 permit 0002.2d30.edf0

"Блокировка по мас-адресу"
Отправлено Linuzs , 23-Дек-05 13:49

в чем разница межде 700-799 и 1100-1199

"Блокировка по мас-адресу"
Отправлено Сайко , 23-Дек-05 14:19

>знак '?' у тебя не получится ввести все равно =)
Кто тебе такое сказал?
Вот например
Test-PE#c
Enter configuration commands, one per line.  End with CNTL/Z.
Test-PE(config)#int
Test-PE(config)#interface FastEthernet0/1
Test-PE(config-if)#des
Test-PE(config-if)#description ??
LINE    <cr>
Test-PE(config-if)#description ??
LINE    <cr>
Test-PE(config-if)#description ???? secially for nikl ????
Test-PE(config-if)#^Z
Test-PE#sh
000072: Dec 23 14:15:28.701 MSK: %SYS-5-CONFIG_I: Configured from console by console
Test-PE#sh int f0/1
FastEthernet0/1 is administratively down, line protocol is down
  Hardware is i82543 (Livengood), address is 0012.d9a3.8706 (bia 0012.d9a3.8706)
  Description: ???? secially for nikl ????
  MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive set (10 sec)
  Unknown duplex, Unknown Speed, 100BaseTX/FX
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input never, output never, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 80
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     0 packets input, 0 bytes
     Received 0 broadcasts (0 IP multicast)
     0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     0 watchdog
     0 input packets with dribble condition detected
     0 packets output, 0 bytes, 0 underruns
     1 output errors, 0 collisions, 0 interface resets
     0 babbles, 0 late collision, 0 deferred
     1 lost carrier, 0 no carrier
     0 output buffer failures, 0 output buffers swapped out
просто кому то надо почитать про специальные эскейп последовательности:
http://www.cisco.com/univercd/cc/td/doc/product/atm/ls1010s/...
Ctrl-V and Esc Q
Inserts a code to indicate to the system that the keystroke immediately following should be treated as a command entry, not as an editing key.

"Блокировка по мас-адресу"
Отправлено Linuzs , 23-Дек-05 14:30

народ что-то я запутолся?

"Блокировка по мас-адресу"
Отправлено Изгой , 23-Дек-05 15:17

>народ что-то я запутолся?
Всё правильно написал
вот так access-list 700 permit 0002.2d30.edf0
- правильно - только вот в чём проблема если тебе надо разрешить очень много маков - то сколько будет записей .....
Потом ещё вопрос можно ли на интерфей 3 уровня вешать сей акцесс лист
если честно мне просто сейчас лень этим заниматься , работы было много - отдых - всё же пятница ,
Может Сайко знает - как это делаеться и нужно ли переводить интерфейс в бридж или расписывать вланы и на них уже прописывать данный акцесс, в книжках не нашёл примера .
Но вот при вводе данного акцесса , при привязке на интерфейс
обычно пишем для ip - так ip access-group 101 in , а тут как быть
в общем после команды int fa0/1
надо посмотреть по ? вопросу что там будет доступно и плясать от этого.

"Блокировка по мас-адресу"
Отправлено Сайко , 23-Дек-05 15:39

Эээ.. тормозните!
Я просто сказал что воспросительный знак можно ввести в CLI наравне с другими символами! К MAC ACL это отношения не имело, это был просто пример ввода "?" в description!

"Блокировка по мас-адресу"
Отправлено Изгой , 23-Дек-05 16:53

>Эээ.. тормозните!
>Я просто сказал что воспросительный знак можно ввести в CLI наравне с
>другими символами! К MAC ACL это отношения не имело, это был
>просто пример ввода "?" в description!
Сайко я не про ввод ? , а про просто посмотреть на вывод доступных команд на конфигурации интерфейса , просто думал что вы поможете в данном вопросе, как сиё применять на интерфейсе 3 го уровня.

"Блокировка по мас-адресу"
Отправлено Linuzs , 30-Дек-05 19:03

народ вы меня что запутали как мне быть

"Блокировка по мас-адресу"
Отправлено Linuzs , 25-Дек-05 20:11

я и вот так и пробовал вот ято у меня получилось:
access-list 700 deny 00e0.4c95.4a0a 0000.0000.0000
это только запрешает это мас я так понил, не так ли.
а если вот так вот это одно и тоже
arp 111.111.111.111 0060.9783.3e12 ARPA