Да, это работает. Ориентировался на примеры настройки в
http://www.d-link.ru/ru/faq/62/205.html IP-MAC-Port Binding (пример)
Задача: Ограничить доступ на портах коммутатора по IP и MAC-адресам одновременно
Команды для настройки коммутатора:
1) create address_binding ip_mac ipaddress 192.168.0.7 mac_address
00-03-25-05-5F-F3 ports 2
.
.
.
2) config address_binding ip_mac ports 2 state enable
.
.
.
IP-MAC-Port Binding ACL Mode (пример)
Задача: Ограничить доступ на портах коммутатора по IP и MAC-адресам одновременно
Команды для настройки коммутатора:
1) create address_binding ip_mac ipaddress 192.168.0.7 mac_address
00-03-25-05-5F-F3 ports 2 mode acl
.
.
.
2) config address_binding ip_mac ports 2 state enable
.
.
.
3) enable address_binding acl_mode
это и ввело в заблуждение. Правила ACL для impb добавляются в последний 257-ой профиль (impb на 4-ом порту)
show address_binding acl
Profile ID Access ID Mode IP Address MAC Address Ports
---------- --------- ------ --------------- ----------------- -----
257 1 permit 10.0.1.99 52-54-4C-F5-B4-AA all
257 2 permit 10.0.1.100 00-E0-52-AE-F5-E7 all
257 200 deny all - 4
Это при
Command: show address_binding ip_mac all
IP Address MAC Address Mode ACL Status Ports
--------------- ----------------- ------------- ---------- --------------------
10.0.0.179 00-21-91-46-93-F6 Static Inactive 2
10.0.1.60 BC-AE-C5-AB-72-3E Static Inactive 9
10.0.1.65 10-78-D2-81-12-07 Static Inactive 10
10.0.1.70 10-78-D2-81-13-63 Static Inactive 12
10.0.1.80 F0-7D-68-77-34-6D Static Inactive 3
10.0.1.99 52-54-4C-F5-B4-AA Static Active 4
10.0.1.100 00-E0-52-AE-F5-E7 Static Active 4
10.0.1.101 00-24-54-E8-93-F9 Static Inactive 6
10.0.1.122 00-11-5B-83-BC-CF Static Inactive 1
10.0.1.132 F0-7D-68-53-80-63 Static Inactive 5
10.0.1.185 00-19-66-F6-9E-5D Static Inactive 13
10.0.3.1 B0-48-7A-C3-0B-8B Static Inactive 16
81.4.195.10 00-1C-F0-80-F4-0B Static Inactive 15
172.16.2.49 00-0F-0D-22-AE-E7 Static Inactive 20
Вопрос: ACL разрешения ip-mac применились для всех портов, хотя указание было только для 4-ого (config address_binding ip_mac ports 4 mode acl), поэтому при переходе на 'ACL mode' останется возможным arp-spoofing клиентских подключений коммутатора в пределах одного влана (с таким acl подключение с любого порта сможет скомпрометировать подключение 4-ого порта при переключении на acl mode)?
Ещё вопрос: изначально присутствовал acl вида:
show access_profile
Access Profile Table
================================================================================
Profile ID: 1 Type: Ethernet Frame Filter
================================================================================
Owner: ACL
Masks Option
Destination MAC Eth Type
----------------- --------
FF-FF-FF-FF-FF-FF
--------------------------------------------------------------------------------
Access ID : 1
Ports : 1-8
Mode : Permit
Destination MAC Eth Type
Mask
----------------- --------
FF-FF-FF-FF-FF-FF 0x0806
--------------------------------------------------------------------------------
Access ID : 2
Ports : 1-8
Mode : Deny
Destination MAC Eth Type
Mask
----------------- --------
FF-FF-FF-FF-FF-FF
================================================================================
Total Profile Entries: 1
Total Used Rule Entries: 2
, который зазрешает широковещание только по arp.
Как его модифицировать чтобы можно было применять impb acl mode? В данный момент все arp проходят по первому же правилу, правила impb не задействуются. Хотелось бы запретить широковещание, при этом оставив arp но с учётом привязок impb. Есть мысль запрета широковещания по ethernet типу 0x0800, тогда останутся широковещания протоколов ipx/spx и прочих?
Вход
Регистрация
FAQ
Поиск
