Mac-address block

Salam,

Mənə elə bir commanda lazımdır ki, static olaraq bəzi Mac address-ləri block edim. Qeyd edim ki, port security istifadə etmədən Mac-address-ləri bağlmaq lazımdır. Təcrübə üçün.

Qeyd edim ki, core switch-dən başqa bütün switch-lər HP layer 2 switch-lərdir. Gateway-də isə ASA istifadə edirik.

Düşünürəm ki, ASA -da belə bir imkan olmamalıdır. Yoxsa mən yanılıram ?

Məlumat üçün bu comandanıda sizlə paylaşmaq istəyirəm.

Router(config)# mac address-table static mac_address vlan vlan_ID drop. Bu comanda vasitəsi ilə təyin etdiyiniz mac-address-i bütün switchlərin mac-table-da axtarmadan 1 tək router üzərindən konfigurasiya edərək blocklamaq olur.

Sizcə mən nə etməliyəm? HP switch və ya Cisco ASA avadanlığı bu imkana sahibdir?

 

Səs: 0. Bəyənilsin Zəifdir

Baxılıb: 2005 dəfə

Cavablar ( 6 )

  1. Сəlal bəy salam,

    Mümkündürsə sualınızı dəqiqləşdirərdiniz. Siz konkret olaraq hansısa MAC adresin şəbəkəyə çıxışını bloklamaq istəyirsiniz ? Gateway sizin başqa şəbəkəyə çıxışınızı təmin edir. Ona görə də həmin avadanlıqda MAC adresi bloklamaq nə üçün gərəkdir sizə ?

     

    Hörmətlə,

    Rizvan Bayramov

  2. Salam Rızvan müəllim,

    Burada məni maraqlandıran nüans konkret olaraq bilinən bir MAC adresin ( bu hər hansı şəbəkə avadanlığı və ya komputer avadanlığı) mənim local şəbəkəmdə işləməsinin qarşısını almaqdır.

    Buna misal olaraq DHCP server üzərində IP-lərə Deny vermə funksiyasını göstərə bilərəm.

    Bu halda deycəksiz ki, DHCP server üzərindən blockla həmin avadanlığı.

    Sual yaranır: Bu avadanlıq excluded olunmuş scopdan ip alıbsa? Bu halda DHCP cash-da ip və MAC siyahıda görünməyəcək. Bəs necə blocklamaq olar?

    Untitled

  3. Əgər həmin MAC adres məlumdursa, o zaman ACLdən istifadə edə bilərsən. Bu Port ACL də ola bilər, VLAN ACL də ola bilər.

     

    Hörmətlə,

    Rizvan Bayramov

  4. Müəllim,

    Bunu üçün aşağıdakı konfiqurasiyanı etməliyəm?

    !

    mac access-list extended AntiVirus

    deny host 0101.0101.abcd any

    permit any any

    !

    interface FastEthernet0/2

    des LINK TO ROUTER

    switchport mode access

    mac access-group AntiVirus in

    !

    NOTE

    You cannot apply named MAC extended ACLs to Layer 3 interfaces.

    The mac access-group interface configuration command is only valid when applied to a physical Layer 2 interface.You cannot use the command on EtherChannel port channels.

  5. Cəlal,

    Bu halda bu yaradılan ACL bütün access portlara vurulmalıdır. Bu da rahat bir üsul deyil. Yaxşı olar ki VLAN ACL istifadə edəsən. Misal olaraq:

    mac access-list extended DENY
    permit 0101.0101.abcd any

     

    vlan access-map FILTER 10
    action deny
    match mac address DENY
    !
    vlan access-map FILTER 20
    action forward

    vlan filter FILTER vlan-list 1

     

    Hörmətlə,

    Rizvan Bayramov

  6. Сəlal,

    İstifadə etdiyin üsulu və nəticəsini bölüşməyi unutma. Digər oxucular da yararlana bilsin.

     

    Hörmətlə,

    Rizvan Bayramov

Cavab yazın