有關CISCO的MAC ACL指令或是ARP - iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

0

有關CISCO的MAC ACL指令或是ARP

pei 2011-08-23 17:38:50 ‧ 11949 瀏覽

分享至

先看圖https://docs.google.com/leaf?id=0BxX02JZo7_3LZDY4ZDkxODgtNDg3Yi00NGZhLTlkYmQtMGE3Y2U5ZWYxNTYz&hl=zh_TW
小弟在A的core switch上的某個interface上做以下功能：
1.mac access-list 功能
2.arp 1.1.1.1 0000.xxxx.1111 arpa
結果都沒生效...
會有這種可能嗎?還是需要開port-security?
簡單的說~我只是想把某人的mac榜定ip或是加到阻檔名單裡...
請原諒我問這個問題...因為我是cisco苦手

登入發表討論

直播研討會

{{ item.subject }}

{{ item.channelVendor }} {{ item.webinarstarted }} |

{{ formatDate(item.duration) }}

直播中

3 個回答

2

pisceseros

iT邦新手 3 級 ‧ 2011-08-24 14:36:57

最佳解答

arp 1.1.1.1 0000.xxxx.1111 arpa 這指令跟你要的功能無關
在右邊兩台SW上，假設要在CISCO SW上的F0/0上進行綁定
建立mac access-list，並且permit host mac-address any
建立IP access-list，並且permit host 你的ip any(用標準式)
進入F0/0
將兩筆ACL，以IN的方向，套入F0/0

回應 5
分享
檢舉

看更多先前的回應...收起先前的回應...

pei iT邦新手 4 級 ‧ 2011-08-24 15:15:25 檢舉

有沒有不用動到右邊那2台的方式?
因為有一台是d-link純粹的switch...
我想說上網最後都會經過core switch上
arp 給對方一個假的ip讓他連網路都不通...

pisceseros iT邦新手 3 級 ‧ 2011-08-24 15:39:04 檢舉

所以你要的功能到底是什麼=.=

pei iT邦新手 4 級 ‧ 2011-08-25 17:05:11 檢舉

表達不好誤見怪@@
我想要的功能是有人不希望別人亂改ip
我們公司的政策是有些ip可以上網有些不行
近期有遇到再try ip的人
想在core s/w上處理那些人

zackhuang iT邦新手 2 級 ‧ 2011-08-26 08:08:15 檢舉

怕別人亂改IP
cisco可以用 ip dhcp snooping + ip verify source

pisceseros iT邦新手 3 級 ‧ 2011-08-26 09:55:58 檢舉

zackhuang提到：
ip dhcp snooping

請可以大大簡短講解一下這兩個功能嗎XD

登入發表回應

2

zackhuang

iT邦新手 2 級 ‧ 2011-08-25 16:38:58

mac+ip 做阻擋

那他改了ip 你不就擋不到了

回應 2
分享
檢舉

pei iT邦新手 4 級 ‧ 2011-08-25 17:01:09 檢舉

arpa這個功能不是可以綁定mac跟ip嗎?
只認mac不是嗎?改了ip就不能用了
還是我記錯了?@@

pisceseros iT邦新手 3 級 ‧ 2011-08-26 09:53:17 檢舉

所以必需是要用permit的敘述，而不是用deny呀

登入發表回應

2

harrier7

iT邦研究生 2 級 ‧ 2011-08-31 11:37:17

要管理最好使用 802.1X 進行 PNAC。
還有用戶不能給 administrator 權限。
因為：IP 可以改，事實上 MAC 也能改。

回應
分享
檢舉

登入發表回應

我要發表回答

立即登入回答

參賽組數

1064 組

團體組數

40 組

累計文章數

22200 篇

完賽人數

602 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙