Catalyst access-list, onorua, 24-Фев-05, 19:34 [смотреть все]Здравствуйте. Я столкнулся с проблемой. Есть свич catalyst 2950, и есть router 2650. Мне нужно запретить выход в мир только одному компьютеру, если я настраиваю access-list на роутере - скорость немного падает, это понятно, задержки при проверке каждого пакета. Я решил урезать ему доступ еще на свиче. Свичи я так понимаю, работают на 2-м уровне, значит нужно делать это с помощью MAC, но как? Проблема в том, что запретить выходить в мир а не вообще доступ к локальной сети. Помогите, если кто-то знает как это лучше организовать. |
- Catalyst access-list, Rodion, 19:43 , 24-Фев-05 (1)
>Здравствуйте. Я столкнулся с проблемой. Есть свич catalyst 2950, и есть router >2650. Мне нужно запретить выход в мир только одному компьютеру, если >я настраиваю access-list на роутере - скорость немного падает, это понятно, >задержки при проверке каждого пакета. Я решил урезать ему доступ еще >на свиче. Свичи я так понимаю, работают на 2-м уровне, значит >нужно делать это с помощью MAC, но как? Проблема в том, >что запретить выходить в мир а не вообще доступ к локальной >сети. Помогите, если кто-то знает как это лучше организовать. ACL na swiche 2-go urovna i na 3-m urovne otlichno stavitsa i rabotaet. Ne somnevaytes!
- Catalyst access-list, onorua, 20:38 , 24-Фев-05 (2)
>ACL na swiche 2-go urovna i na 3-m urovne otlichno stavitsa i >rabotaet. Ne somnevaytes! Мой свич не поддерживает ip фильтрацию. Так просто в документации написано. я подумал, что было бы не плохо фильтровать на уровне MAC доступ к порту, к которому подключенм роутер, но! port security - на сколько я читал, поддержтвает, только фильтрацию на вход. Что значит, что машина или вообще не сможет пользоваться сетью или сможет пользоваться всей сетью! Я или вас не понял, или понял не правильно. Уточните пожалуйста, в какую сторону мне смотреть?
- Catalyst access-list, Rodion, 12:52 , 25-Фев-05 (3)
>>ACL na swiche 2-go urovna i na 3-m urovne otlichno stavitsa i >>rabotaet. Ne somnevaytes! > >Мой свич не поддерживает ip фильтрацию. Так просто в документации написано. я >подумал, что было бы не плохо фильтровать на уровне MAC доступ >к порту, к которому подключенм роутер, но! port security - на >сколько я читал, поддержтвает, только фильтрацию на вход. Что значит, что >машина или вообще не сможет пользоваться сетью или сможет пользоваться всей >сетью! > >Я или вас не понял, или понял не правильно. Уточните пожалуйста, в >какую сторону мне смотреть? Dla nachala nado opredelitsa chto u vas tam - IOS ili CLI ? Esli IOS (u nas 12.1(11) )- na swiche est' vozmognost' stavit ACL, prichem kak standard tak i extended. Naschet CLI -poka ne silen - v gizni ne prihodilos' mnogo stalkivatsa. No eta filtraziya deystvitelno horosha tolko dla polnoy blokirovki traffika. Kstati - esli rech idet o skorosti - to na swithche filtraziya eshe medlennee rabotaet - naskolko zamecheno. A vot vasha 2600 v filtrazii tormozit' ne dolgna osobo.Tem bolee-esli zadacha prosto narugu ne puskat'. Zablokiruyte na vhodyashem interfeyse - i vseh delov! U nas 2651xm s 128Mb RAM tashit na sebe vse 4 seriala,1E1, v serialah QOS prichem ne ochen "prostoy" dla routera - i ko vsemu eshe ACL na Fa. Spravlaetsa - tormogeniya ne zamecheno...
|