D-Link • Просмотр темы - 3526 IP-MAC Binding. Возможно ли?

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

3526 IP-MAC Binding. Возможно ли?

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 2 из 4

[ Сообщений: 60 ]

На страницу Пред. 1, 2, 3, 4 След.

Предыдущая тема | Следующая тема

Автор

Сообщение

svsh1990

Заголовок сообщения:

Добавлено: Вс дек 23, 2007 15:04

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль

chajnik писал(а):

Спасибо за быстрый ответ. Теперь более менее понятно.

Возник ещё один вопрос. Как в этой схеме сделать чтобы заблокированному был виден только 80 порт (web) сервера статистики. Просто там кроме статистики ещё фтп и прочее есть.

Код:

create access_profile ip source_ip_mask 255.255.255.255  tcp dst_port_mask 0xFFFF profile_id 1
config access_profile profile_id 1 add access_id 1 ip source_ip 192.168.1.1 tcp dst_port 80 port 1 permit

_________________
LiveComm

Вернуться наверх

Spinakep

Заголовок сообщения:

Добавлено: Чт дек 27, 2007 14:40

Зарегистрирован: Чт дек 27, 2007 12:11
Сообщений: 77

А будет ли работать данная схема если клиент получает IP адрес по DHCP ? Проблем с этим никаких не будет ?

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Чт дек 27, 2007 22:08

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

У Вас адрес прописан в статических лизах или может быть каждый раз новый?

Вернуться наверх

Spinakep

Заголовок сообщения:

Добавлено: Пт дек 28, 2007 00:00

Зарегистрирован: Чт дек 27, 2007 12:11
Сообщений: 77

Demin Ivan писал(а):

У Вас адрес прописан в статических лизах или может быть каждый раз новый?

DHCP сервер выдает статический адрес по MAC адресу.

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Пт дек 28, 2007 14:23

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Просто при настройке IMP на порту укажите опцию allow_zero_ip enable.

Вернуться наверх

Spinakep

Заголовок сообщения:

Добавлено: Пт дек 28, 2007 14:24

Зарегистрирован: Чт дек 27, 2007 12:11
Сообщений: 77

Спасибо за ответ!

Вернуться наверх

chajnik

Заголовок сообщения:

Добавлено: Пн фев 18, 2008 21:06

Зарегистрирован: Сб ноя 04, 2006 18:49
Сообщений: 239

svsh1990 писал(а):

Все они при помощи IP-MAC binding привязаны к первому порту по маку и ip. т.е. если они сменят мак или ip работать у них ничего не будет. это дает нам гарантию, что указанные параметры пользователи сменить сами себе не смогут.

Соответственно:

Код:

create address_binding ip_mac ipaddress 10.10.1.1 mac_address 00-11-23-45-67-89 ports 1 mode acl
create address_binding ip_mac ipaddress 10.10.1.2 mac_address 00-21-23-45-67-89 ports 1 mode acl
create address_binding ip_mac ipaddress 10.10.1.3 mac_address 00-31-23-45-67-89 ports 1 mode acl
create address_binding ip_mac ipaddress 10.10.1.4 mac_address 00-41-23-45-67-89 ports 1 mode acl
create address_binding ip_mac ipaddress 10.10.1.5 mac_address 00-51-23-45-67-89 ports 1 mode acl

Далее. создаем правило разреающее клиенту ходить на сервер статистики:

Код:

create access_profile ip source_ip_mask 255.255.255.255 profile_id 1
config access_profile profile_id 1 add access_id 1 ip source_ip 192.168.1.1 port 1 permit

где 192.168.1.1 - IP сервера статистики.

Теперь допустим у клиента 10.10.1.5 кончились деньги.
Блокируем:

Код:

create access_profile ip source_ip_mask 255.255.255.255 profile_id 2
config access_profile profile_id 2 add access_id 1 ip source_ip 10.10.1.5 port 1 deny

все. кроме сервера статистики клиент никуда не попадет.

Схема не работает...

даже без IPMB, просто вначале прописываю первое правило ACL, а потом второе. Клиент блокируется, и на сервер статистики зайти не может.

5.01-B18

Что посоветуете?

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Пн фев 18, 2008 22:08

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Я думаю всё-таки более правильно вот так:

create access_profile ip destination_ip_mask 255.255.255.255 profile_id 1
config access_profile profile_id 1 add access_id 1 ip destination_ip 192.168.1.1 port 1 permit

Вернуться наверх

chajnik

Заголовок сообщения:

Добавлено: Пн фев 18, 2008 23:11

Зарегистрирован: Сб ноя 04, 2006 18:49
Сообщений: 239

Да, спасибо Иван, так всё работает.

Вернуться наверх

kukabarra

Заголовок сообщения:

Добавлено: Ср фев 20, 2008 16:12

Зарегистрирован: Ср окт 12, 2005 14:47
Сообщений: 21
Откуда: Казахстан, Петропавловск

есть такой вопрос по des-3526:

есть acl профили 1-6, на которых прописаны направления, доступные даже тем клиентам, которые в долгах, с непривязаными маками и т.п.

среди всего прочего

Код:

create access_profile ip destination_ip_mask 255.255.255.255  profile_id 2 
config access_profile  profile_id 2 add access_id 1 ip destination_ip 10.4.0.1 port 1 permit 
.....
config access_profile  profile_id 2 add access_id 25 ip destination_ip 10.4.0.11 port 1 permit 
.....

есть включеный address_binding acl_mode (профили 7 и 8 )
на портах -

Код:

config address_binding ip_mac ports 1-24 state enable loose

для клиентов у которых есть маки, которых можно пускать в сеть (есть деньги или разрешающий статус) делается

Код:

create address_binding ip_mac ipaddress IP mac_address MAC ports PORT mode acl

так вот, клиенты, у которых не указаны маки (нет денег, мак сброшен, свежеподключеный и т.п.) и которые должны ходить только на прописаные в acl адреса показываются по show fdb как BlockByAddrBind и их пакеты дальше этого свича не проходят.

как сделать, чтобы эти acl работали нормально?
хотя-бы, чтобы любые клиенты с любыми маками и любыми адресами могли ходить на эти самые 10.4.0.1 и 10.4.0.11

Последний раз редактировалось kukabarra Ср фев 20, 2008 16:17, всего редактировалось 1 раз.

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Ср фев 20, 2008 16:16

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Вы IMP ACL mode после обычных ACL настраивали или нет?

Вернуться наверх

kukabarra

Заголовок сообщения:

Добавлено: Ср фев 20, 2008 16:19

Зарегистрирован: Ср окт 12, 2005 14:47
Сообщений: 21
Откуда: Казахстан, Петропавловск

Demin Ivan писал(а):

Вы IMP ACL mode после обычных ACL настраивали или нет?

после.

вот так показываются Access Profile Table
Profile ID Type Owner Access Rule Delete

1 IP ACL
2 IP ACL
3 Ethernet ACL
4 Ethernet ACL
5 Ethernet ACL
6 Ethernet ACL
7 Packet Content Mask Address_binding
8 Packet Content Mask Address_binding

Вернуться наверх

kukabarra

Заголовок сообщения:

Добавлено: Ср фев 20, 2008 16:22

Зарегистрирован: Ср окт 12, 2005 14:47
Сообщений: 21
Откуда: Казахстан, Петропавловск

Demin Ivan писал(а):

Вы IMP ACL mode после обычных ACL настраивали или нет?

вот кусочек sh fdb для примера

32 vlan_32 00-0D-87-49-ED-E2 13 Dynamic
32 vlan_32 00-0E-2E-5F-E9-D8 1 BlockByAddrBind
32 vlan_32 00-0F-EA-5C-F9-CB 9 Dynamic

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Ср фев 20, 2008 17:27

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Версия прошивки?

Вернуться наверх

kukabarra

Заголовок сообщения:

Добавлено: Чт фев 21, 2008 08:47

Зарегистрирован: Ср окт 12, 2005 14:47
Сообщений: 21
Откуда: Казахстан, Петропавловск

Demin Ivan писал(а):

Версия прошивки?

5.01-B09

Вернуться наверх

Страница 2 из 4

[ Сообщений: 60 ]

На страницу Пред. 1, 2, 3, 4 След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: Majestic-12 [Bot] и гости: 44

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения