сорри наверно часто опсуждалось уже

делаю так:

create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 10
config access_profile profile_id 10 add access_id 2 ethernet source_mac 00-00-00-00-00-00 port 24 deny

(хачу прибить все пакеты)

подключаюсь к 24 порту а пакеты литают туда сюда без проблем

делал даже так

create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF profile_id 5
config access_profile profile_id 5 add access_id 1 ethernet source_mac DE-AD-FA-CE-8D-8D port 24 permit

create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 10
config access_profile profile_id 10 add access_id 2 ethernet source_mac 00-00-00-00-00-00 port 24 deny

а они всиравно ходют и ходют >.<

хде тута ошибко?

_________________
--

я тут нимношко разобралсо, пакеты оказываеццо ходют к системному интерфейсу етого свича а вот если дальше то неходют, ето так и далжно быть?

_________________
--

ACL фильтруют входящий трафик между клиентами, если нужно фильтровать трафик, который идёт на CPU (ipif System), то это делается по средствам CPU ACL.

_________________
С уважением,
Бигаров Руслан.

тут вот еще такой вапрос интересный возниг, вот даже если дапусьтим все "плахие" маки я отфильтровываю на чипсете и на CPU, когда "плахие" маки отбрасываются они незаписываются при этом в какиенибудь тоблицы каторые могут переполнится?

_________________
--

пирифразирую вапрос, фунхция Learning на порту работаед до ACL или после неё, и ежели мак был отброшен по ACL deny то в Learning он незопишетсо?

_________________
--

Может стоит проявить уважение к участникам форума и писать всё-таки по-русски?
Спасибо.

Интересный вопрос. Вообще при включенном MIB и отключенном port security (т.к. 5 ревизия прошивки не позволяет одновременную работу данных возможностей) возможна атака на коммутатор типа переполнения mac таблицы со всеми вытекающими последствиями. Вопрос, как корректно от этого защититься и привязать mac-ip-port? Воспользоваться port security + привязка мак-ип-порт через ACL или другим, более изящным и простым способом?

2 duzer_r > Создавать статические записи в FDB таблице, а потом ещё привязки IMPB, это получится масло маслянное.

2 ACRDES > Пожалуйста, прочитайте правила форума.

_________________
С уважением,
Бигаров Руслан.

Bigarov Ruslan, т.е. если включить IMPB, то при посылке "злобным хацкером" пакетов порядка 10-100 тысяч с неверными mac адресами отправителя коммутатор будет продолжать корректно свитчевать пакеты, никакого переполнения ни fdb, ни еще чего-либо не произойдет? Еще возможная ситуация - отсылка dhcp запросов с разными mac адресами отправителя. Такие запросы уже должны дойти до L3 свитча, переполнение mac таблицы и ой....

Коммутировать пакеты он конечно не будет. MAC-адреса будут добавляться в таблицу коммутации и блочиться в ней. По поводу переполнения таблиц всё зависит от режима IMP, но я думаю что вряд ли таблицы переполнятся быстро. По поводу вышестоящего устройства может быть Вы имеете ввиду ARP spoofing устройства?