iT邦幫忙

0

有關CISCO的MAC ACL指令或是ARP

pei 2011-08-23 17:38:5010256 瀏覽

先看圖https://docs.google.com/leaf?id=0BxX02JZo7\_3LZDY4ZDkxODgtNDg3Yi00NGZhLTlkYmQtMGE3Y2U5ZWYxNTYz&hl=zh\_TW
小弟在A的core switch上的某個interface上做以下功能:
1.mac access-list 功能
2.arp 1.1.1.1 0000.xxxx.1111 arpa
結果都沒生效...
會有這種可能嗎?還是需要開port-security?
簡單的說~我只是想把某人的mac榜定ip或是加到阻檔名單裡...
請原諒我問這個問題...因為我是cisco苦手

2
pisceseros
iT邦新手 3 級 ‧ 2011-08-24 14:36:57
最佳解答
  1. arp 1.1.1.1 0000.xxxx.1111 arpa 這指令跟你要的功能無關
  2. 在右邊兩台SW上,假設要在CISCO SW上的F0/0上進行綁定
  3. 建立mac access-list,並且permit host mac-address any
  4. 建立IP access-list,並且permit host 你的ip any(用標準式)
  5. 進入F0/0
  6. 將兩筆ACL,以IN的方向,套入F0/0
看更多先前的回應...收起先前的回應...
pei iT邦新手 4 級 ‧ 2011-08-24 15:15:25 檢舉

有沒有不用動到右邊那2台的方式?
因為有一台是d-link純粹的switch...
我想說上網最後都會經過core switch上
arp 給對方一個假的ip讓他連網路都不通...

所以你要的功能到底是什麼=.=

pei iT邦新手 4 級 ‧ 2011-08-25 17:05:11 檢舉

表達不好誤見怪@@
我想要的功能是有人不希望別人亂改ip
我們公司的政策是有些ip可以上網有些不行
近期有遇到再try ip的人
想在core s/w上處理那些人

zackhuang iT邦新手 2 級 ‧ 2011-08-26 08:08:15 檢舉

怕別人亂改IP
cisco可以用 ip dhcp snooping + ip verify source

zackhuang提到:
ip dhcp snooping

請可以大大簡短講解一下這兩個功能嗎XD

2
zackhuang
iT邦新手 2 級 ‧ 2011-08-25 16:38:58

mac+ip 做阻擋

那他改了ip 你不就擋不到了

pei iT邦新手 4 級 ‧ 2011-08-25 17:01:09 檢舉

arpa這個功能不是可以綁定mac跟ip嗎?
只認mac不是嗎?改了ip就不能用了
還是我記錯了?@@

所以必需是要用permit的敘述,而不是用deny呀

2
harrier7
iT邦研究生 2 級 ‧ 2011-08-31 11:37:17

要管理最好使用 802.1X 進行 PNAC。
還有用戶不能給 administrator 權限。
因為:IP 可以改,事實上 MAC 也能改。

我要發表回答

立即登入回答