سوال : بستن مك آدرس

Printable View

2007-07-30, 04:58 PM
addmean

سوال : بستن مك آدرس

سلام

از اساتيد محترم يه سوال داشتم، مي خواستم ببينم امكانش هست يه كامپيوتر رو كه به شبكه LAN وصله از تو سوئيچ ( لايه دو سيسكو ) مك آدرسشو ببنديم كه به اينترنت دسترسي نداشته باشه.
بر اساس آي پي ميشه تو روتر با يه اكسس ليست بستش ولي وقتي از DHCP آدرس ميگيره، بعد از يكي دو روز آي پيش عوض ميشه.
من مي خوام پر مك آدرس ببندم و قالو بكنم.

ممنون ميشم جواب بدين
2007-07-30, 05:55 PM
herus_deus

كاري كن اي پي عوض نشه
dhcp leased
2007-07-31, 01:44 AM
ahuray_mazdaa

می تونی تنظیم کنی که برای وصل شدن به سوییچ auth بشن از یک رادیوس یا AD بعد بر اساس گروه اونجا بگی کدوم اینترنت داشته باشن...solutioأ اسونی نیست البته
2007-07-31, 02:30 AM
microwave

روی سوییچهای 2950 می دونم میشه .
2007-08-01, 11:39 AM
addmean

ممنون از پاسخ دوستان
حالا كه نميشه مك آدرسو تو سوئيچ ما ( catalyst 3548) بست، ميشه يه vlan تو سوئيچ تعريف كرد كه به اينترنت دسترسي نداشته باشه و بعد اون پرتو جزو اون vlan قرار داد؟ البته به شبكه دسترسي داشته باشه.
2007-08-01, 12:07 PM
addmean

[QUOTE=herus_deus;162711]كاري كن اي پي عوض نشه
dhcp leased[/QUOTE]

آقا Default IP Time-to-live همونه؟

يه عدد به بايت ميگيره.
2007-08-01, 02:17 PM
microwave

[quote=addmean;162866]آقا Default IP Time-to-live همونه؟

يه عدد به بايت ميگيره.[/quote]

ازروی MAC می تونید IP ثابت بدین .
2007-08-01, 02:17 PM
microwave

[quote=addmean;162865]ممنون از پاسخ دوستان
حالا كه نميشه مك آدرسو تو سوئيچ ما ( catalyst 3548) بست، ميشه يه vlan تو سوئيچ تعريف كرد كه به اينترنت دسترسي نداشته باشه و بعد اون پرتو جزو اون vlan قرار داد؟ البته به شبكه دسترسي داشته باشه.[/quote]

هم با Vlan میشه .و هم روی SW میتونید MAC ACL تعریف کنید.
2007-08-02, 08:19 AM
herus_deus

شما تو dhcp سرور تعريف مي كني كه اين كامپيوتر با اين مك آدرس هميشه اين IP*رو بگيره بهش مي گن dhcp leased
2007-08-03, 03:52 PM
addmean

[QUOTE=herus_deus;162925]شما تو dhcp سرور تعريف مي كني كه اين كامپيوتر با اين مك آدرس هميشه اين IP*رو بگيره بهش مي گن dhcp leased[/QUOTE]

[QUOTE=microwave;162925]ازروی MAC می تونید IP ثابت بدین [/QUOTE]

حالا فهميدم ايني شما گفتيد مال FreeBSD يا Linux هست،
تو ويندور سرور يه چيزي هست به اسم Reservation كه نمگذاره ديگران IP مورد نظر رو بگيرن.
چون براي رزرو كردن، مك آدرس و آي پي هر دو رو مي خواد، احتمالا همون كاري رو كه شما فرموديد ميكنه.

ممنون از راهنمايي تون.
2007-08-03, 08:32 PM
herus_deus

البته اينو به خاطر داشته باشيد كه هميشه IP*كه توسط يوزر ست مي شه به IP* از طريق DHCP گرفته مي شه اولويت داره و بنابراين اگر يوزها اجازه داشته باشند IP* رو به صورت دستي عوض كنند مي توانند به اينترنت وصل شوند.
2007-08-05, 07:39 AM
aryagohar

روي روتر هم مي تونيد ACL مرتبط به MAC-Address وارد كنيد.
2007-08-05, 10:57 AM
addmean

[QUOTE=aryagohar;163130]روي روتر هم مي تونيد ACL مرتبط به MAC-Address وارد كنيد.[/QUOTE]

ميشه دستورشو بنويسيد.
2007-08-05, 02:21 PM
Masih

[LEFT]Salam dada
mitoni VACL tarif koni[/LEFT]

[LEFT][COLOR=darkorange]swa2901#conf t[/COLOR]
[COLOR=darkorange]swa2901(config)#mac access-list extended NAME[/COLOR]
[COLOR=darkorange]swa2901(config-ext-macl)#deny MAC_ADDRESS[/COLOR][/LEFT]

[LEFT][COLOR=black]Age bazam soali dashti bepors... movafagh bashi[/COLOR][/LEFT]
2007-08-05, 07:41 PM
shabake_karan

[quote=Masih;163163][LEFT]Salam dada
mitoni VACL tarif koni[/LEFT]

[LEFT][COLOR=darkorange]swa2901#conf t[/COLOR]
[COLOR=darkorange]swa2901(config)#mac access-list extended NAME[/COLOR]
[COLOR=darkorange]swa2901(config-ext-macl)#deny MAC_ADDRESS[/COLOR][/LEFT]

[LEFT][COLOR=black]Age bazam soali dashti bepors... movafagh bashi[/COLOR][/LEFT]
[/quote]
اینکه شما نوشتی بر روی switch هست نه بر روی روتر
بر روی router شما با استفاده از access-list های بین 700-799 می تونی که Mac Address filtering انجام بدهی که دسترسی رو block کنی
[LEFT][LTR]
<700-799> 48-bit MAC address access list

R1(config)#access-list 700 permit ?
H.H.H 48-bit hardware address

[/LTR]
[/LEFT]
2007-08-06, 08:41 AM
addmean

[QUOTE=shabake_karan;163192]اینکه شما نوشتی بر روی switch هست نه بر روی روتر
بر روی router شما با استفاده از access-list های بین 700-799 می تونی که Mac Address filtering انجام بدهی که دسترسی رو block کنی
[LEFT][LTR]
<700-799> 48-bit MAC address access list

R1(config)#access-list 700 permit ?
H.H.H 48-bit hardware address

[/LTR]
[/LEFT][/QUOTE]

روتر 3662 ما فرق ميكنه

[CODE]Rtr(config)#access-list ?
<1-99> IP standard access list
<100-199> IP extended access list
<1000-1099> IPX SAP access list
<1100-1199> Extended 48-bit MAC address access list
<1200-1299> IPX summary address access list
<1300-1999> IP standard access list (expanded range)
<200-299> Protocol type-code access list
<2000-2699> IP extended access list (expanded range)
<300-399> DECnet access list
<400-499> XNS standard access list
<500-599> XNS extended access list
<600-699> Appletalk access list
<700-799> 48-bit MAC address access list
<800-899> IPX standard access list
<900-999> IPX extended access list
dynamic-extended Extend the dynamic ACL abolute timer
rate-limit Simple rate-limit specific access list[/CODE]

من بايد يه اكسس ليست تو رنج 1100 تا 1199 تعريف كنم. درسته؟
در ضمن شما نوشتي permit ، بايد بنويسيم deny ، نه؟
2007-08-06, 08:50 AM
shabake_karan

[quote=addmean;163231]روتر 3662 ما فرق ميكنه

[code]Rtr(config)#access-list ?
<1-99> IP standard access list
<100-199> IP extended access list
<1000-1099> IPX SAP access list
<1100-1199> Extended 48-bit MAC address access list
<1200-1299> IPX summary address access list
<1300-1999> IP standard access list (expanded range)
<200-299> Protocol type-code access list
<2000-2699> IP extended access list (expanded range)
<300-399> DECnet access list
<400-499> XNS standard access list
<500-599> XNS extended access list
<600-699> Appletalk access list
<700-799> 48-bit MAC address access list
<800-899> IPX standard access list
<900-999> IPX extended access list
dynamic-extended Extend the dynamic ACL abolute timer
rate-limit Simple rate-limit specific access list[/code]من بايد يه اكسس ليست تو رنج 1100 تا 1199 تعريف كنم. درسته؟
در ضمن شما نوشتي permit ، بايد بنويسيم deny ، نه؟[/quote]

شما اگر همین لیست رو هم ببینی باز هم رنح 700-799 رو داره. اگر که فقط یک MAC رو می خوای ببیندی از Extended استفاده نکن. عنوان topic شما بستن MAC است پس احتمالا شما باید که deny کنی.
2007-08-07, 07:56 AM
addmean

من اينو
[CODE]access-list 700 deny 0011.d8db.6ee0 0000.0000.0000[/CODE]
اضافه كردم به access list ها ولي هيچ تغييري تو ارتباط اين دستگاه صورت نگرفت.
2007-08-07, 09:11 AM
shabake_karan

راجع به سناریو شبکه ات هم اگر که یگ توضیح مختصری بدید ، فکر کنم که مفید باشد
2007-08-07, 10:41 PM
addmean

[QUOTE=shabake_karan;163343]راجع به سناریو شبکه ات هم اگر که یگ توضیح مختصری بدید ، فکر کنم که مفید باشد[/QUOTE]

منظور از سناريو همون پيكربندي ( توپولوژي ) شبكه است؟
2007-08-11, 06:29 AM
sirus14

بهترین راه حل VLAN هست چون طرف میتونه حتی MAC خودش رو عوض کنه و اینکه این راه حل scalable هستش.
یا ACL دسترسی کل VLAN رو به Gateway ببند.

[LEFT],HTH

Sirus Moghadsian
[/LEFT]
2007-08-18, 04:51 PM
addmean

[QUOTE=shabake_karan;163343]راجع به سناریو شبکه ات هم اگر که یگ توضیح مختصری بدید ، فکر کنم که مفید باشد[/QUOTE]

[QUOTE=sirus14;163654]بهترین راه حل VLAN هست چون طرف میتونه حتی MAC خودش رو عوض کنه و اینکه این راه حل scalable هستش.
یا ACL دسترسی کل VLAN رو به Gateway ببند.

[LEFT],HTH

Sirus Moghadsian
[/LEFT][/QUOTE]

ما منتظر رسيدن فايروال جديد سيسكو مون هستيم و سناريوي جديدي رو مي خوايم رو شبكه اجرا كنيم به اين صورت كه گيت وي باشه فايروال، بعدش يه آيزا سرور يا يه چيز مشابه بزاريم كه هم كار كش سرور رو انجام بده و هم پهناي باند رو كنترل كنه، در عين حال زون سرور ها رو از زون لن جدا كنيم.
ولي حالا سناريو چه ربطي به اين داره كه اون اكسس ليست چرا اجرا نميشه؟

منم با نظر جناب sirus14 موافقم VLAN راه مطمئن تريه.
ولي دانستن علت اينكه چرا اكسس ليست كار نميكنه ميتونه هم براي من و هم بقيه مفيد باشه.
2007-08-19, 12:02 PM
shabake_karan

[quote=addmean;164165]ما منتظر رسيدن فايروال جديد سيسكو مون هستيم و سناريوي جديدي رو مي خوايم رو شبكه اجرا كنيم به اين صورت كه گيت وي باشه فايروال، بعدش يه آيزا سرور يا يه چيز مشابه بزاريم كه هم كار كش سرور رو انجام بده و هم پهناي باند رو كنترل كنه، در عين حال زون سرور ها رو از زون لن جدا كنيم.
ولي حالا سناريو چه ربطي به اين داره كه اون اكسس ليست چرا اجرا نميشه؟

منم با نظر جناب sirus14 موافقم VLAN راه مطمئن تريه.
ولي دانستن علت اينكه چرا اكسس ليست كار نميكنه ميتونه هم براي من و هم بقيه مفيد باشه.[/quote]

حتما یه ربطی داشت که پرسیدم دیگه !!! اونم مسیر ارتباطی و .... خیلی چیزهای دیگست
2007-08-19, 04:16 PM
addmean

[QUOTE=shabake_karan;164221]حتما یه ربطی داشت که پرسیدم دیگه !!! اونم مسیر ارتباطی و .... خیلی چیزهای دیگست[/QUOTE]

شما فرض كن ما با ارتباط فيبر و مبدل فيبر به كت فايو، اينترنتو ميگيريم ميديم به روتر رو بعد سوئيچ و اين سوئيچ با فيبر و جي بيك اينترنتو ميگيره ميده به يه سوئيچ مركزي كه فقط پرت هاي فيبر داره و اين سوئيچ هم اينترنتو به همون طريق فيبر تقسيم ميكنه به 8 تا سوئيچ ديگه ( 48 و 24 پرت ) و ارتباط كامپيوتر ها با اينترنت برقرار ميشه.

مسير هاي ارتباطي ما بين سوئيچ ها فيبره، و كامپيوتر ها با سوئيچ Cat5-e .
حالا مشكل كجاست؟
2007-08-19, 04:47 PM
shabake_karan

[RIGHT]مشکل در نوع apply کردن این access-list است . شما وقتی که در روتر از MAC Access List استفاده می کنی . اینجوری apply نمی شه که شما احتمالا کردی (ip access-group ..) شما باید که از قابلیت های Transparent Bridging در روتر استفاده کنی . شبیه مثال زیر

[LEFT][ltr]
[SIZE=3]R1(config)#int fast0/0
[/SIZE][SIZE=3]R1(config-if)#[/SIZE][SIZE=3] no ip addr
[/SIZE][SIZE=3]R1(config-if)#[/SIZE][SIZE=3] bridge-group 1 input-address-list[I] 700

[/I] [/SIZE][SIZE=3]R1(config)#[/SIZE][SIZE=3] bridge irb
[/SIZE][SIZE=3]R1(config)#[/SIZE][SIZE=3] bridge 1 protocol ieee
[/SIZE][SIZE=3]R1(config)#[/SIZE][SIZE=3] bridge 1 route ip

[/SIZE][SIZE=3]R1(config)#[/SIZE][SIZE=3] int BVI1
[/SIZE][SIZE=3]R1(config-if)#[/SIZE][SIZE=3] ip address [I]Interface-ip-Address

[/I] [/SIZE][SIZE=3]R1(config)#[/SIZE][SIZE=3] access-list 700 deny [I]H.H.H[/I][/SIZE]

[/ltr][/LEFT]
[/RIGHT]