forum.opennet.ru - "Выход в инет через NAT в для определнных MAC-адресов" (6)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Выход в инет через NAT в для определнных MAC-адресов"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Выход в инет через NAT в для определнных MAC-адресов"
Сообщение от Kan (ok) on 20-Июн-06, 23:28
Добрый время суток! Есть задача и простой локалки через CIsco 877-K9 выпускать в инет только определенные машины. Решил сделать правило для заворота в NAT примерно такое ip nat inside source list 701 interface Dialer0 overload access-list 701 permit 000b.5d93.5abf 0000.0000.0000 и работь данная конструкция не хочет. Хотя при изменеии ACL на простые все работает. Вобще такая задумка реализуема или нет
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Оглавление

Выход в инет через NAT в для определнных MAC-адресов, vgray, 09:08 , 21-Июн-06, (1)

Выход в инет через NAT в для определнных MAC-адресов, Kan, 09:51 , 21-Июн-06, (2)

Выход в инет через NAT в для определнных MAC-адресов, vgray, 10:29 , 21-Июн-06, (3)

Выход в инет через NAT в для определнных MAC-адресов, Kan, 10:32 , 21-Июн-06, (4)

Выход в инет через NAT в для определнных MAC-адресов, Kan, 10:41 , 21-Июн-06, (5)

Выход в инет через NAT в для определнных MAC-адресов, vgray, 11:19 , 21-Июн-06, (6)

Сообщения по теме [Сортировка по времени, UBB]

1. "Выход в инет через NAT в для определнных MAC-адресов"

Сообщение от vgray (ok) on 21-Июн-06, 09:08

>Добрый время суток!
>
>Есть задача и простой локалки через CIsco 877-K9 выпускать в инет только
>определенные машины.
>Решил сделать правило для заворота в NAT примерно такое
>ip nat inside source list 701 interface Dialer0 overload
>access-list 701 permit 000b.5d93.5abf   0000.0000.0000
>и работь данная конструкция не хочет.
>Хотя при изменеии ACL на простые все работает.
>Вобще такая задумка реализуема или нет
как вариант можно сделать так
ip nat inside source list 120 interface Dialer0 overload
access-list 120 permit ip host 192.168.10.15 any
arp 192.168.10.15 000b.5d93.5abf ARPA
те пускать оп ip, и жестко привязать ip и mac.
если есть фича ip source guard то лучше воспользоваться ею, для привязки ip-mac

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "Выход в инет через NAT в для определнных MAC-адресов"

Сообщение от Kan (ok) on 21-Июн-06, 09:51

Спасибо за ответ.
Тогда встречный вопрос каким образом мне застваить эту сетевую карту с МАС адресом 000b.5d93.5abf получить от DHCP сервера которой настроен на этой=же Cisco именно
адрес 192.168.10.15.
Вот кусок конфига
ip dhcp excluded-address 192.168.10.1
!
ip dhcp pool sdm-pool
   import all
   network 192.168.10.0 255.255.255.240
   default-router 192.168.10.1
   domain-name work
   dns-server xxxxxxxxxxxx
   lease 0 2

interface FastEthernet0
no ip address
no cdp enable

interface Vlan1
description For users hotel
ip address 192.168.10.1 255.255.255.240
ip tcp adjust-mss 1452

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "Выход в инет через NAT в для определнных MAC-адресов"

Сообщение от vgray (ok) on 21-Июн-06, 10:29

Сделать что-нить наподобии
ip dhcp excluded-address 192.168.10.1
!
ip dhcp pool sdm-pool
   import all
   network 192.168.10.0 255.255.255.240
   default-router 192.168.10.1
   domain-name work
   dns-server xxxxxxxxxxxx
   lease 0 2
ip dhcp pool sdm-pool-ip15
   host 192.168.10.15 255.255.255.240
   hardware-address 000b.5d93.5abf
   ....  остальные опции по вкусу
если не работае hardware-address, то видел рекомендации использовать вместо него client-identifier (особенно для виндовых машин), у него чуть другой синтаксис, уточните на сайте

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "Выход в инет через NAT в для определнных MAC-адресов"

Сообщение от Kan (ok) on 21-Июн-06, 10:32

Спасибо огромное за консультацию, сегодня вечером все попробую о результатах доложу.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "Выход в инет через NAT в для определнных MAC-адресов"

Сообщение от Kan (ok) on 21-Июн-06, 10:41

Кстати, возник вопрос у моей карты МСА адрес 000b.5d93.5abf
А при sh dhcp bbind
cisco его показывает как
0100.0b5d.935a.bf
Почему так?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

6. "Выход в инет через NAT в для определнных MAC-адресов"

Сообщение от vgray (ok) on 21-Июн-06, 11:19

>Кстати, возник вопрос у моей карты МСА адрес 000b.5d93.5abf
>
>А при sh dhcp bbind
>cisco его показывает как
>0100.0b5d.935a.bf
>
>Почему так?

:) а разве я не говорил о том что о синтаксисе client-identifier нужно посмотреть на сайте циски?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Выход в инет через NAT в для определнных MAC-адресов"
Сообщение от vgray (ok) on 21-Июн-06, 09:08
>Добрый время суток! > >Есть задача и простой локалки через CIsco 877-K9 выпускать в инет только >определенные машины. >Решил сделать правило для заворота в NAT примерно такое >ip nat inside source list 701 interface Dialer0 overload >access-list 701 permit 000b.5d93.5abf 0000.0000.0000 >и работь данная конструкция не хочет. >Хотя при изменеии ACL на простые все работает. >Вобще такая задумка реализуема или нет как вариант можно сделать так ip nat inside source list 120 interface Dialer0 overload access-list 120 permit ip host 192.168.10.15 any arp 192.168.10.15 000b.5d93.5abf ARPA те пускать оп ip, и жестко привязать ip и mac. если есть фича ip source guard то лучше воспользоваться ею, для привязки ip-mac
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	2. "Выход в инет через NAT в для определнных MAC-адресов"
	Сообщение от Kan (ok) on 21-Июн-06, 09:51
	Спасибо за ответ. Тогда встречный вопрос каким образом мне застваить эту сетевую карту с МАС адресом 000b.5d93.5abf получить от DHCP сервера которой настроен на этой=же Cisco именно адрес 192.168.10.15. Вот кусок конфига ip dhcp excluded-address 192.168.10.1 ! ip dhcp pool sdm-pool import all network 192.168.10.0 255.255.255.240 default-router 192.168.10.1 domain-name work dns-server xxxxxxxxxxxx lease 0 2 interface FastEthernet0 no ip address no cdp enable interface Vlan1 description For users hotel ip address 192.168.10.1 255.255.255.240 ip tcp adjust-mss 1452
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	3. "Выход в инет через NAT в для определнных MAC-адресов"
	Сообщение от vgray (ok) on 21-Июн-06, 10:29
	Сделать что-нить наподобии ip dhcp excluded-address 192.168.10.1 ! ip dhcp pool sdm-pool import all network 192.168.10.0 255.255.255.240 default-router 192.168.10.1 domain-name work dns-server xxxxxxxxxxxx lease 0 2 ip dhcp pool sdm-pool-ip15 host 192.168.10.15 255.255.255.240 hardware-address 000b.5d93.5abf .... остальные опции по вкусу если не работае hardware-address, то видел рекомендации использовать вместо него client-identifier (особенно для виндовых машин), у него чуть другой синтаксис, уточните на сайте
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	4. "Выход в инет через NAT в для определнных MAC-адресов"
	Сообщение от Kan (ok) on 21-Июн-06, 10:32
	Спасибо огромное за консультацию, сегодня вечером все попробую о результатах доложу.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	5. "Выход в инет через NAT в для определнных MAC-адресов"
	Сообщение от Kan (ok) on 21-Июн-06, 10:41
	Кстати, возник вопрос у моей карты МСА адрес 000b.5d93.5abf А при sh dhcp bbind cisco его показывает как 0100.0b5d.935a.bf Почему так?
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	6. "Выход в инет через NAT в для определнных MAC-адресов"
	Сообщение от vgray (ok) on 21-Июн-06, 11:19
	>Кстати, возник вопрос у моей карты МСА адрес 000b.5d93.5abf > >А при sh dhcp bbind >cisco его показывает как >0100.0b5d.935a.bf > >Почему так? :) а разве я не говорил о том что о синтаксисе client-identifier нужно посмотреть на сайте циски?
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]