-
[QUOTE=shabake_karan;163192]اینکه شما نوشتی بر روی switch هست نه بر روی روتر
بر روی router شما با استفاده از access-list های بین 700-799 می تونی که Mac Address filtering انجام بدهی که دسترسی رو block کنی
[LEFT][LTR]
<700-799> 48-bit MAC address access list
R1(config)#access-list 700 permit ?
H.H.H 48-bit hardware address
[/LTR]
[/LEFT][/QUOTE]
روتر 3662 ما فرق ميكنه
[CODE]Rtr(config)#access-list ?
<1-99> IP standard access list
<100-199> IP extended access list
<1000-1099> IPX SAP access list
<1100-1199> Extended 48-bit MAC address access list
<1200-1299> IPX summary address access list
<1300-1999> IP standard access list (expanded range)
<200-299> Protocol type-code access list
<2000-2699> IP extended access list (expanded range)
<300-399> DECnet access list
<400-499> XNS standard access list
<500-599> XNS extended access list
<600-699> Appletalk access list
<700-799> 48-bit MAC address access list
<800-899> IPX standard access list
<900-999> IPX extended access list
dynamic-extended Extend the dynamic ACL abolute timer
rate-limit Simple rate-limit specific access list[/CODE]
من بايد يه اكسس ليست تو رنج 1100 تا 1199 تعريف كنم. درسته؟
در ضمن شما نوشتي permit ، بايد بنويسيم deny ، نه؟
-
[quote=addmean;163231]روتر 3662 ما فرق ميكنه
[code]Rtr(config)#access-list ?
<1-99> IP standard access list
<100-199> IP extended access list
<1000-1099> IPX SAP access list
<1100-1199> Extended 48-bit MAC address access list
<1200-1299> IPX summary address access list
<1300-1999> IP standard access list (expanded range)
<200-299> Protocol type-code access list
<2000-2699> IP extended access list (expanded range)
<300-399> DECnet access list
<400-499> XNS standard access list
<500-599> XNS extended access list
<600-699> Appletalk access list
<700-799> 48-bit MAC address access list
<800-899> IPX standard access list
<900-999> IPX extended access list
dynamic-extended Extend the dynamic ACL abolute timer
rate-limit Simple rate-limit specific access list[/code]من بايد يه اكسس ليست تو رنج 1100 تا 1199 تعريف كنم. درسته؟
در ضمن شما نوشتي permit ، بايد بنويسيم deny ، نه؟[/quote]
شما اگر همین لیست رو هم ببینی باز هم رنح 700-799 رو داره. اگر که فقط یک MAC رو می خوای ببیندی از Extended استفاده نکن. عنوان topic شما بستن MAC است پس احتمالا شما باید که deny کنی.
-
من اينو
[CODE]access-list 700 deny 0011.d8db.6ee0 0000.0000.0000[/CODE]
اضافه كردم به access list ها ولي هيچ تغييري تو ارتباط اين دستگاه صورت نگرفت.
-
راجع به سناریو شبکه ات هم اگر که یگ توضیح مختصری بدید ، فکر کنم که مفید باشد
-
[QUOTE=shabake_karan;163343]راجع به سناریو شبکه ات هم اگر که یگ توضیح مختصری بدید ، فکر کنم که مفید باشد[/QUOTE]
منظور از سناريو همون پيكربندي ( توپولوژي ) شبكه است؟
-
بهترین راه حل VLAN هست چون طرف میتونه حتی MAC خودش رو عوض کنه و اینکه این راه حل scalable هستش.
یا ACL دسترسی کل VLAN رو به Gateway ببند.
[LEFT],HTH
Sirus Moghadsian
[/LEFT]
-
[QUOTE=shabake_karan;163343]راجع به سناریو شبکه ات هم اگر که یگ توضیح مختصری بدید ، فکر کنم که مفید باشد[/QUOTE]
[QUOTE=sirus14;163654]بهترین راه حل VLAN هست چون طرف میتونه حتی MAC خودش رو عوض کنه و اینکه این راه حل scalable هستش.
یا ACL دسترسی کل VLAN رو به Gateway ببند.
[LEFT],HTH
Sirus Moghadsian
[/LEFT][/QUOTE]
ما منتظر رسيدن فايروال جديد سيسكو مون هستيم و سناريوي جديدي رو مي خوايم رو شبكه اجرا كنيم به اين صورت كه گيت وي باشه فايروال، بعدش يه آيزا سرور يا يه چيز مشابه بزاريم كه هم كار كش سرور رو انجام بده و هم پهناي باند رو كنترل كنه، در عين حال زون سرور ها رو از زون لن جدا كنيم.
ولي حالا سناريو چه ربطي به اين داره كه اون اكسس ليست چرا اجرا نميشه؟
منم با نظر جناب sirus14 موافقم VLAN راه مطمئن تريه.
ولي دانستن علت اينكه چرا اكسس ليست كار نميكنه ميتونه هم براي من و هم بقيه مفيد باشه.
-
[quote=addmean;164165]ما منتظر رسيدن فايروال جديد سيسكو مون هستيم و سناريوي جديدي رو مي خوايم رو شبكه اجرا كنيم به اين صورت كه گيت وي باشه فايروال، بعدش يه آيزا سرور يا يه چيز مشابه بزاريم كه هم كار كش سرور رو انجام بده و هم پهناي باند رو كنترل كنه، در عين حال زون سرور ها رو از زون لن جدا كنيم.
ولي حالا سناريو چه ربطي به اين داره كه اون اكسس ليست چرا اجرا نميشه؟
منم با نظر جناب sirus14 موافقم VLAN راه مطمئن تريه.
ولي دانستن علت اينكه چرا اكسس ليست كار نميكنه ميتونه هم براي من و هم بقيه مفيد باشه.[/quote]
حتما یه ربطی داشت که پرسیدم دیگه !!! اونم مسیر ارتباطی و .... خیلی چیزهای دیگست
-
[QUOTE=shabake_karan;164221]حتما یه ربطی داشت که پرسیدم دیگه !!! اونم مسیر ارتباطی و .... خیلی چیزهای دیگست[/QUOTE]
شما فرض كن ما با ارتباط فيبر و مبدل فيبر به كت فايو، اينترنتو ميگيريم ميديم به روتر رو بعد سوئيچ و اين سوئيچ با فيبر و جي بيك اينترنتو ميگيره ميده به يه سوئيچ مركزي كه فقط پرت هاي فيبر داره و اين سوئيچ هم اينترنتو به همون طريق فيبر تقسيم ميكنه به 8 تا سوئيچ ديگه ( 48 و 24 پرت ) و ارتباط كامپيوتر ها با اينترنت برقرار ميشه.
مسير هاي ارتباطي ما بين سوئيچ ها فيبره، و كامپيوتر ها با سوئيچ Cat5-e .
حالا مشكل كجاست؟
-
[RIGHT]مشکل در نوع apply کردن این access-list است . شما وقتی که در روتر از MAC Access List استفاده می کنی . اینجوری apply نمی شه که شما احتمالا کردی (ip access-group ..) شما باید که از قابلیت های Transparent Bridging در روتر استفاده کنی . شبیه مثال زیر
[LEFT][ltr]
[SIZE=3]R1(config)#int fast0/0
[/SIZE][SIZE=3]R1(config-if)#[/SIZE][SIZE=3] no ip addr
[/SIZE][SIZE=3]R1(config-if)#[/SIZE][SIZE=3] bridge-group 1 input-address-list[I] 700
[/I] [/SIZE][SIZE=3]R1(config)#[/SIZE][SIZE=3] bridge irb
[/SIZE][SIZE=3]R1(config)#[/SIZE][SIZE=3] bridge 1 protocol ieee
[/SIZE][SIZE=3]R1(config)#[/SIZE][SIZE=3] bridge 1 route ip
[/SIZE][SIZE=3]R1(config)#[/SIZE][SIZE=3] int BVI1
[/SIZE][SIZE=3]R1(config-if)#[/SIZE][SIZE=3] ip address [I]Interface-ip-Address
[/I] [/SIZE][SIZE=3]R1(config)#[/SIZE][SIZE=3] access-list 700 deny [I]H.H.H[/I][/SIZE]
[/ltr][/LEFT]
[/RIGHT]