https://www.opennet.ru/openforum/vsluhforumID6/20470.html Доброго времени суток!<br><br>есть каталист, к портам которого подключены абоненты (кто через дслам, кто - напрямую...), нужно защитить сеть от езернет кадров идущих от абонентов с source MAC'ами брасов.<br>Можно для начала сделать так:<br>int fastEthernet 0/1<br>mac access-group no-bras-mac in<br><br>и соответственно:<br><br>mac access-list extended no-bras-mac<br>deny host &lt;MAC-BRAS-1&gt; any<br>deny host &lt;MAC-BRAS-2&gt; any<br>permit any any<br><br>Все вроде бы? Ан нет... mac access-group работает ТОЛЬКО для НЕ ip трафика (по документации и согласно моим экспериментам). То есть pppoe и arp работать не будут, но обычный IP пакет пройдет, в результате кадр с подставленным маком дойдет до ядра сети и центральный свич будет думать что брас находится в двух местах. Так можно обычным пингом навредить провайдеру. <br>Что делать? Cisco предлагает поставить одновременно с mac access-group еще и ip access-group на интерфейс, и там фильтровать IP трафик. Хорошо:<br><br>interface FastEthernet0/1<br>ip access-group no-bras-ip in<br><br>ip access-list extended no-b https://www.opennet.ru/openforum/vsluhforumID6/20470.html#3 Tue, 09 Feb 2010 05:13:40 GMT попробуйте задать статикой связку mac - интерфейс для наиболее критичных адресов в сети.<br>при имеющейся статической записи каталист не делает лерн на мак прилетевшего пакета из юзер порта.<br> https://www.opennet.ru/openforum/vsluhforumID6/20470.html#2 Mon, 08 Feb 2010 11:35:00 GMT Спасибо за ответ!<br><br>Но mac access-group все же действует только на не IP трафик, в вашем случае просто не может отработать arp и клиент теряет связь, но его кадры пройдут дальше по влану и могут навредить табличкам mac/port этого и других (по пути следования) каталистов. Вот как с этим бороться?<br> https://www.opennet.ru/openforum/vsluhforumID6/20470.html#1 Mon, 08 Feb 2010 09:37:28 GMT &gt;Все вроде бы? Ан нет... mac access-group работает ТОЛЬКО для НЕ ip <br>&gt;трафика (по документации и согласно моим экспериментам). <br><br>Разве? Что то у меня не так было, когда по ошибке добавил не тот mac. <br>А вообще делал так. Не понравилось только то что поставить логирование на как на IP access-list нельзя. <br>mac access-list extended sacz<br> deny host xxxx.xxxx.xxxx any<br> ....<br> permit any any<br><br>interface GigabitEthernet1/0/6<br> switchport access vlan 201<br> switchport mode access<br> mac access-group sacz in<br> <br>interface Vlan201<br> ip address x.x.x.x<br> ip access-group LabnetIn in<br> ip access-group LabnetOut out<br> <br>