 Catalyst access-list,  onorua, 24-Фев-05, 19:34 [смотреть все]Здравствуйте. Я столкнулся с проблемой. Есть свич catalyst 2950, и есть router 2650. Мне нужно запретить выход в мир только одному компьютеру, если я настраиваю access-list на роутере - скорость немного падает, это понятно, задержки при проверке каждого пакета. Я решил урезать ему доступ еще на свиче. Свичи я так понимаю, работают на 2-м уровне, значит нужно делать это с помощью MAC, но как? Проблема в том, что запретить выходить в мир а не вообще доступ к локальной сети. Помогите, если кто-то знает как это лучше организовать. |
- Catalyst access-list, Rodion, 19:43 , 24-Фев-05 (1)
>Здравствуйте. Я столкнулся с проблемой. Есть свич catalyst 2950, и есть router
>2650. Мне нужно запретить выход в мир только одному компьютеру, если
>я настраиваю access-list на роутере - скорость немного падает, это понятно,
>задержки при проверке каждого пакета. Я решил урезать ему доступ еще
>на свиче. Свичи я так понимаю, работают на 2-м уровне, значит
>нужно делать это с помощью MAC, но как? Проблема в том,
>что запретить выходить в мир а не вообще доступ к локальной
>сети. Помогите, если кто-то знает как это лучше организовать.
ACL na swiche 2-go urovna i na 3-m urovne otlichno stavitsa i rabotaet. Ne somnevaytes!
- Catalyst access-list, onorua, 20:38 , 24-Фев-05 (2)
>ACL na swiche 2-go urovna i na 3-m urovne otlichno stavitsa i
>rabotaet. Ne somnevaytes! Мой свич не поддерживает ip фильтрацию. Так просто в документации написано. я подумал, что было бы не плохо фильтровать на уровне MAC доступ к порту, к которому подключенм роутер, но! port security - на сколько я читал, поддержтвает, только фильтрацию на вход. Что значит, что машина или вообще не сможет пользоваться сетью или сможет пользоваться всей сетью! Я или вас не понял, или понял не правильно. Уточните пожалуйста, в какую сторону мне смотреть?
- Catalyst access-list, Rodion, 12:52 , 25-Фев-05 (3)
>>ACL na swiche 2-go urovna i na 3-m urovne otlichno stavitsa i
>>rabotaet. Ne somnevaytes!
>
>Мой свич не поддерживает ip фильтрацию. Так просто в документации написано. я
>подумал, что было бы не плохо фильтровать на уровне MAC доступ
>к порту, к которому подключенм роутер, но! port security - на
>сколько я читал, поддержтвает, только фильтрацию на вход. Что значит, что
>машина или вообще не сможет пользоваться сетью или сможет пользоваться всей
>сетью!
>
>Я или вас не понял, или понял не правильно. Уточните пожалуйста, в
>какую сторону мне смотреть? Dla nachala nado opredelitsa chto u vas tam - IOS ili CLI ? Esli IOS (u nas 12.1(11) )- na swiche est' vozmognost' stavit ACL, prichem kak standard tak i extended. Naschet CLI -poka ne silen - v gizni ne prihodilos' mnogo stalkivatsa. No eta filtraziya deystvitelno horosha tolko dla polnoy blokirovki traffika.
Kstati - esli rech idet o skorosti - to na swithche filtraziya eshe medlennee rabotaet - naskolko zamecheno. A vot vasha 2600 v filtrazii tormozit' ne dolgna osobo.Tem bolee-esli zadacha prosto narugu ne puskat'. Zablokiruyte na vhodyashem interfeyse - i vseh delov!
U nas 2651xm s 128Mb RAM tashit na sebe vse 4 seriala,1E1, v serialah QOS prichem ne ochen "prostoy" dla routera - i ko vsemu eshe ACL na Fa. Spravlaetsa - tormogeniya ne zamecheno...
|
Версия для распечатки
