Mac-address block
Salam,
Mənə elə bir commanda lazımdır ki, static olaraq bəzi Mac address-ləri block edim. Qeyd edim ki, port security istifadə etmədən Mac-address-ləri bağlmaq lazımdır. Təcrübə üçün.
Qeyd edim ki, core switch-dən başqa bütün switch-lər HP layer 2 switch-lərdir. Gateway-də isə ASA istifadə edirik.
Düşünürəm ki, ASA -da belə bir imkan olmamalıdır. Yoxsa mən yanılıram ?
Məlumat üçün bu comandanıda sizlə paylaşmaq istəyirəm.
Router(config)# mac address-table static mac_address vlan vlan_ID drop. Bu comanda vasitəsi ilə təyin etdiyiniz mac-address-i bütün switchlərin mac-table-da axtarmadan 1 tək router üzərindən konfigurasiya edərək blocklamaq olur.
Sizcə mən nə etməliyəm? HP switch və ya Cisco ASA avadanlığı bu imkana sahibdir?
Baxılıb: 2007 dəfə
Cavablar ( 6 )
Сəlal bəy salam,
Mümkündürsə sualınızı dəqiqləşdirərdiniz. Siz konkret olaraq hansısa MAC adresin şəbəkəyə çıxışını bloklamaq istəyirsiniz ? Gateway sizin başqa şəbəkəyə çıxışınızı təmin edir. Ona görə də həmin avadanlıqda MAC adresi bloklamaq nə üçün gərəkdir sizə ?
Hörmətlə,
Rizvan Bayramov
Salam Rızvan müəllim,
Burada məni maraqlandıran nüans konkret olaraq bilinən bir MAC adresin ( bu hər hansı şəbəkə avadanlığı və ya komputer avadanlığı) mənim local şəbəkəmdə işləməsinin qarşısını almaqdır.
Buna misal olaraq DHCP server üzərində IP-lərə Deny vermə funksiyasını göstərə bilərəm.
Bu halda deycəksiz ki, DHCP server üzərindən blockla həmin avadanlığı.
Sual yaranır: Bu avadanlıq excluded olunmuş scopdan ip alıbsa? Bu halda DHCP cash-da ip və MAC siyahıda görünməyəcək. Bəs necə blocklamaq olar?
Əgər həmin MAC adres məlumdursa, o zaman ACLdən istifadə edə bilərsən. Bu Port ACL də ola bilər, VLAN ACL də ola bilər.
Hörmətlə,
Rizvan Bayramov
Müəllim,
Bunu üçün aşağıdakı konfiqurasiyanı etməliyəm?
!
mac access-list extended AntiVirus
deny host 0101.0101.abcd any
permit any any
!
interface FastEthernet0/2
des LINK TO ROUTER
switchport mode access
mac access-group AntiVirus in
!
NOTE
You cannot apply named MAC extended ACLs to Layer 3 interfaces.
The mac access-group interface configuration command is only valid when applied to a physical Layer 2 interface.You cannot use the command on EtherChannel port channels.
Cəlal,
Bu halda bu yaradılan ACL bütün access portlara vurulmalıdır. Bu da rahat bir üsul deyil. Yaxşı olar ki VLAN ACL istifadə edəsən. Misal olaraq:
mac access-list extended DENY
permit 0101.0101.abcd any
vlan access-map FILTER 10
action deny
match mac address DENY
!
vlan access-map FILTER 20
action forward
vlan filter FILTER vlan-list 1
Hörmətlə,
Rizvan Bayramov
Сəlal,
İstifadə etdiyin üsulu və nəticəsini bölüşməyi unutma. Digər oxucular da yararlana bilsin.
Hörmətlə,
Rizvan Bayramov