faq обучение настройка
Текущее время: Вт авг 05, 2025 14:36

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 26 ]  На страницу Пред.  1, 2
Автор Сообщение
 Заголовок сообщения:
СообщениеДобавлено: Ср окт 27, 2010 13:44 
Не в сети

Зарегистрирован: Вт май 25, 2010 13:41
Сообщений: 137
De-Fox писал(а):
Ded_Mazay писал(а):
что вы все такие злые?


Ded_Mazay писал(а):
Получается, если в Source ввести MAC, а Destination оставить пустым, то комп получать пакеты сможет, а отсылать не сможет?

Когда на порт накладывается ACL, свитч смотрит каждый ВХОДЯЩИЙ в этот порт пакет (некоторые железки умеют обрабатывать и исходящий поток, но это отдельный разговор), изучает его и проверяет на соответствие ACL.
Если Вы указываете Source, то будет проверяться на соответствие правилу только источник - получатель может быть любым, а если укажете и Destination, то правило будет выполняться только если и Source и Destination MAC в пакете соответствуют указанным в ACL.


Кратко говоря, если в Source MAC ввести мак-адрес компа №1 (который заблокировать надо), а Destination MAC оставить пустым, то никто не сможет пропинговать заблокированный комп №1.

Если в Destination MAC вписать мак-адрес компьютера №2, то комп №2 и заблокированный №1 комп друг друга не увидят, но зато их можно пропинговать с любых других компьютеров, кроме №1 и №2.

Я правильно понял?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср окт 27, 2010 13:57 
Не в сети

Зарегистрирован: Чт янв 10, 2008 10:35
Сообщений: 272
Да, все правильно.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср окт 27, 2010 14:27 
Не в сети

Зарегистрирован: Вт май 25, 2010 13:41
Сообщений: 137
Спасибо!
Вот такой ответ я хотел получить. Очень хорошая штука у свитча.


ещё вопросец :)

при создании профиля (именно профиль, а не правило) нужно указывать Source MAC "FF-FF-FF-FF-FF-FF" или тот, который нужно заблокировать или вообще не нужно галочку ставить? Ведь при создании правила MAC адрес указывается. Зачем поле "Source MAC" нужно при создании профиля?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср окт 27, 2010 14:39 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
Это маска, нужна для того, чтобы одним профилем и правилом можно было покрыть один или несколько МАС адресов.

_________________
С уважением,
Бигаров Руслан.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср окт 27, 2010 14:39 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
О том, как формируется маска можно узнать у нас на сайте: http://dlink.ru/ru/faq/62/201.html
Там пример для диапазона портов, но принцип используется тот же.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср окт 27, 2010 14:59 
Не в сети

Зарегистрирован: Вт май 25, 2010 13:41
Сообщений: 137
Bigarov Ruslan писал(а):
Это маска, нужна для того, чтобы одним профилем и правилом можно было покрыть один или несколько МАС адресов.


Но ведь в моём случае мне нужно только 1 MAC-адрес заблокировать в правиле. Вы приводили вот такой пример создания профиля.

Цитата:
create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF profile_id 10


FF-FF-FF-FF-FF-FF - всегда такой нужно вводить?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср окт 27, 2010 15:01 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Как раз такая маска и позволяет закрыть именно один MAC-адрес: именно тот что указан в правиле.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср окт 27, 2010 15:03 
Не в сети

Зарегистрирован: Вт май 25, 2010 13:41
Сообщений: 137
Denis Evgraphov писал(а):
Как раз такая маска и позволяет закрыть именно один MAC-адрес: именно тот что указан в правиле.


получается если ввести другую маску в профиле, например 12-12-12-q1-43-32, то правило с мак-адресом заблокированного компа не сработает?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср окт 27, 2010 15:05 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Если хотите заблокировать конкретный MAC-адрес, то нужно всегда использовать маску FF-FF-FF-FF-FF-FF в профиле.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср окт 27, 2010 15:06 
Не в сети

Зарегистрирован: Вт май 25, 2010 13:41
Сообщений: 137
Всё. Вопросов нет, всем огромное спасибо!


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср окт 27, 2010 15:16 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Рады слышать!


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 26 ]  На страницу Пред.  1, 2

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 32


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB