forum.opennet.ru - "фильтрация L2" (9)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"фильтрация L2"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"фильтрация L2"
Сообщение от DrDiesel on 23-Май-03, 19:08 (MSK)
Пример сетки c2650<------>ws2950(1)<-------->ws2950(2) Циска и каталисты связаны trunk'ами. На каталистах сидят клиенты, заведено несколько VLAN'ов. Для одного из них (пусть будет VLAN 11) нужно замутить следующую фишку. Надо чтобы клиенты в нем не видели друг друга, а видели только циску. В пределах одного свича просто, это switchport protected. А как сделать, чтобы клиенты в VLAN 11 с первого каталиста не видели юзеров со второго, а видели только c2650? Как то это дело надо хитро отфильтровать на транковых портах, но пока не не могу придумать как. Или я хочу невозможного? Вообще думается, что надо сделать так, чтобы на втором каталисте в mac-address-table для транкового порта и VLAN 11 была запись только с одним MAC, и чтобы это был MAC с2650. Но вот как это сделать?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

фильтрация L2, ВОЛКА, 19:11 , 23-Май-03, (1)
- фильтрация L2, DrDiesel, 19:17 , 23-Май-03, (2)
фильтрация L2, ВОЛКА, 19:27 , 23-Май-03, (3)
- фильтрация L2, DrDiesel, 19:35 , 23-Май-03, (4)
  - фильтрация L2, Vlad, 12:15 , 24-Май-03, (5)
    - фильтрация L2, DrDiesel, 18:04 , 24-Май-03, (6)
      - фильтрация L2, Vlad, 20:55 , 24-Май-03, (7)
        
        фильтрация L2, DrDiesel, 03:11 , 26-Май-03, (8)
        
        фильтрация L2, DrDiesel, 03:52 , 26-Май-03, (9)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "фильтрация L2"

Сообщение от ВОЛКА on 23-Май-03, 19:11  (MSK)

а не проще ли посадить их в отдельные виланы и написать acl на роутере...

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "фильтрация L2"

Сообщение от DrDiesel on 23-Май-03, 19:17  (MSK)

>а не проще ли посадить их в отдельные виланы и написать acl
>на роутере...
Не подходит. VLAN'ов на всех не хватит, у 2950 их максимум 68, а свитчей на самом деле не 2, а больше, и кроме 11го VLAN'а еще есть штук 20 других. Так что на каждого юзера свой VLAN сделать не получится.

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "фильтрация L2"

Сообщение от ВОЛКА on 23-Май-03, 19:27  (MSK)

switchport protected.
что-то я не понял, как это може помочь на одной железке...

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "фильтрация L2"

Сообщение от DrDiesel on 23-Май-03, 19:35  (MSK)

>switchport protected.
>что-то я не понял, как это може помочь на одной железке...
http://www.cisco.com/en/US/products/hw/switches/ps628/products_configuration_guide_chapter09186a008007e8d6.html#xtocid8
Это решает задачу в пределах одной железки

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "фильтрация L2"

Сообщение от Vlad on 24-Май-03, 12:15  (MSK)

эээ
траляля
conf t
mac access-list extended port10
permit host x.x.x(клиента клиента) host x.x.x (мак роутера)
потом вешаешь на соответветствующий порт
in f0/x
mac access-group portx in
клиент сможет посылать пакеты только роутеру
и даже безо всяких вланов

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "фильтрация L2"

Сообщение от DrDiesel on 24-Май-03, 18:04  (MSK)

А это с каким софтом? У меня таких команд на каталисте нету...

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "фильтрация L2"

Сообщение от Vlad on 24-Май-03, 20:55  (MSK)

черт у меня то 2950Т
на ws2950 такого наверно нет ...

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "фильтрация L2"

Сообщение от DrDiesel on 26-Май-03, 03:11  (MSK)

>черт у меня то 2950Т
>на ws2950 такого наверно нет ...
Все оказывается есть, просто надо было софт обновить ;-))

Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "фильтрация L2"

Сообщение от DrDiesel on 26-Май-03, 03:52  (MSK)

>>черт у меня то 2950Т
>>на ws2950 такого наверно нет ...
>
>Все оказывается есть, просто надо было софт обновить ;-))
Хотя рано обрадовался. mac access-list создается, но на интерфейс не повесить никак, ибо
cisco WS-C2950-24 (RC32300) processor (revision G0) with 21002K bytes of memory.
Processor board ID FOC0701Z2U3
Last reset from system-reset
Running Standard Image
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
24 FastEthernet/IEEE 802.3 interface(s)
а надо

mac access-group name in
This command is available only if your switch is running the enhanced software image (EI).

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "фильтрация L2"
Сообщение от ВОЛКА on 23-Май-03, 19:11 (MSK)
а не проще ли посадить их в отдельные виланы и написать acl на роутере...
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "фильтрация L2"
	Сообщение от DrDiesel on 23-Май-03, 19:17 (MSK)
	>а не проще ли посадить их в отдельные виланы и написать acl >на роутере... Не подходит. VLAN'ов на всех не хватит, у 2950 их максимум 68, а свитчей на самом деле не 2, а больше, и кроме 11го VLAN'а еще есть штук 20 других. Так что на каждого юзера свой VLAN сделать не получится.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

3. "фильтрация L2"
Сообщение от ВОЛКА on 23-Май-03, 19:27 (MSK)
switchport protected. что-то я не понял, как это може помочь на одной железке...
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "фильтрация L2"
	Сообщение от DrDiesel on 23-Май-03, 19:35 (MSK)
	>switchport protected. >что-то я не понял, как это може помочь на одной железке... http://www.cisco.com/en/US/products/hw/switches/ps628/products_configuration_guide_chapter09186a008007e8d6.html#xtocid8 Это решает задачу в пределах одной железки
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "фильтрация L2"
	Сообщение от Vlad on 24-Май-03, 12:15 (MSK)
	эээ траляля conf t mac access-list extended port10 permit host x.x.x(клиента клиента) host x.x.x (мак роутера) потом вешаешь на соответветствующий порт in f0/x mac access-group portx in клиент сможет посылать пакеты только роутеру и даже безо всяких вланов
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "фильтрация L2"
	Сообщение от DrDiesel on 24-Май-03, 18:04 (MSK)
	А это с каким софтом? У меня таких команд на каталисте нету...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "фильтрация L2"
	Сообщение от Vlad on 24-Май-03, 20:55 (MSK)
	черт у меня то 2950Т на ws2950 такого наверно нет ...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "фильтрация L2"
	Сообщение от DrDiesel on 26-Май-03, 03:11 (MSK)
	>черт у меня то 2950Т >на ws2950 такого наверно нет ... Все оказывается есть, просто надо было софт обновить ;-))
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "фильтрация L2"
	Сообщение от DrDiesel on 26-Май-03, 03:52 (MSK)
	>>черт у меня то 2950Т >>на ws2950 такого наверно нет ... > >Все оказывается есть, просто надо было софт обновить ;-)) Хотя рано обрадовался. mac access-list создается, но на интерфейс не повесить никак, ибо cisco WS-C2950-24 (RC32300) processor (revision G0) with 21002K bytes of memory. Processor board ID FOC0701Z2U3 Last reset from system-reset Running Standard Image ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ 24 FastEthernet/IEEE 802.3 interface(s) а надо mac access-group name in This command is available only if your switch is running the enhanced software image (EI).
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх