Главная arrow Администрирование arrow Cisco arrow Ограничение доступа к портам коммутатора - Port Security и MAC Extended ACL Tuesday, November 21 2017  
ГлавнаяКонтактыАдминистрированиеПрограммированиеСсылки
UK-flag-ico.png English Version
GERMAN-flag-ico.png Die deutsche Version
map.gif карта сайта
нашли опечатку?

Пожалуйста, сообщите об этом - просто выделите ошибочное слово или фразу и нажмите Shift Enter.

Поделиться:

Ограничение доступа к портам коммутатора - Port Security и MAC Extended ACL Версия для печати
Написал microsin   
22.03.2007
Ограничивать несанкционированный доступ к портам коммутатора можно с помощью технологии Port Security (описана с статье Configuring Port-Based Traffic Control
http://www.cisco.com/en/US/products/hw/switches/ps628/products_configuration_guide_chapter09186a00800d84c2.html)
и с помощью MAC Extended ACL (описана с статье Configuring Network Security with ACLs
http://www.cisco.com/en/US/products/hw/switches/ps628/products_configuration_guide_chapter09186a00800d84c8.html) .
Port Security основана на привязке разрешенных MAC-адресов к каждому интерфейсу коммутатора (либо задание лимита на количество MAC-адресов, распознанных автоматически на интерфейсе) и задании алгоритма, по которому при нарушении правил доступ ограничивается (либо трафик блокируется, либо отключается интерфейс). Технология предусматривает уникальную привязку MAC к интерфейсу (например, один и тот же MAC не может соответствовать нескольким интерфейсам).

Технология MAC Extended ACL возможно, более удобна для ограничения доступа по MAC. Принцип работы другой - создается список правил, связанных с MAC-адресами, и этот список привязывается к нужным интерфейсам. Правила обычно создаются на основе ключевого слова permit, и созданный ACL привязывается к нужным access-портам (не к trunk). Особенности MAC Extended ACL:
- работает только на enhanced software image IOS.
- на Catalyst 2950 можно создавать только IP standard и IP extended access lists, номера 1..199 и 1300..2699.
ACL Number       Type                                         Supported 2950
1-99             IP standard access list                      Yes
100-199          IP extended access list                      Yes
200-299          Protocol type-code access list               No
300-399          DECnet access list                           No
400-499          XNS standard access list                     No
500-599          XNS extended access list                     No
600-699          AppleTalk access list                        No
700-799          48-bit MAC address access list               No
800-899          IPX standard access list                     No
900-999          IPX extended access list                     No
1000-1099        IPX SAP access list                          No
1100-1199        Extended 48-bit MAC address access list      No
1200-1299        IPX summary address access list              No
1300-1999        IP standard access list (expanded range)     Yes
2000-2699        IP extended access list (expanded range)     Yes

- можно задавать extended access list, в котором вместо номера указано имя, например:
mac access-list extended acl-MAC-enabled
 permit host 000a.e40c.9677 any
  ...
 permit host 000f.fe10.be50 any

  здесь разрешается доступ для хостов с указанными MAC на хосты с любыми MAC
- в конце ACL всегда стоит неявно прописанное правило deny any any, которое запрещает доступ всем хостам, отсутствующим в списке (обычный принцип работы всех ACL, не только MAC Extended ACL).

Процесс по шагам:
1.
(config)#mac access-list extended acl-MAC-enabled
(config-ext-macl)#permit host 000a.e40c.9677 any
(config-ext-macl)#permit host 000f.fe10.be50 any
(config-ext-macl)#exit

2.
(config)#interface Fa0/13
(config-if)#switchport mode access
(config-if)#mac access-group acl-MAC-enabled in
(config-if)#^C
Последнее обновление ( 11.10.2007 )
 

Добавить комментарий

:D:lol::-);-)8):-|:-*:oops::sad::cry::o:-?:-x:eek::zzz:P:roll::sigh:

Защитный код
Обновить

< Пред.   След. >

Top of Page
 
microsin © 2017