Рубрики

Лучшие статьи

acl cisco блокирование mac адреса

Опубликовал 20 января 2010 в рубрике Cisco. Комментарии: Комментариев нет   Просмотров: 251 просмотров

Потребовалось заблочить одного юзера в локалке не по IP, а используя MAC адрес сетевухи и acl cisco маршрутизатора. Сменить айпишник может и ребёнок, а вот как менять mac адрес на винде многие недалёкие товарищи не знают. Да и не сразу догадаются, что схлопотали бан.

Центральным роутером у нас является Cisco catalyst 3560, которая поддерживает технологию access листов. Тот же фаерволл, только в терминологии cisco.

Немного поковыряв мануальчик по этому делу, решил опробовать всё в действии. Узнать mac нарушителя можно сопоставив связку IP – MAC в arp таблице.

Вызывается вся таблице командой show arp или sh ip arp

Internet  10.14.0.4               2   001c.25e5.6478  ARPA   Vlan18
Internet  10.28.173.187         220   001a.92e1.62dc  ARPA   Vlan26
Internet  10.24.30.12             7   485b.392b.f6ff  ARPA   Vlan108
Internet  10.6.11.7              10   4c00.1071.078f  ARPA   Vlan13
Internet  10.29.20.3             31   0053.4500.0000  ARPA   Vlan35
Internet  10.11.0.1               3   0022.838f.8781  ARPA   Vlan16
Internet  10.21.30.1              0   0022.838f.8781  ARPA   Vlan103
Internet  10.8.0.2                -   0016.9da6.2245  ARPA   Vlan14
Internet  10.2.247.254           90   0023.5445.fe73  ARPA   Vlan11
Internet  10.27.0.16              0   4061.8615.c231  ARPA   Vlan25
Internet  10.9.1.3                0   001d.7dd4.d1f4  ARPA   Vlan15
Internet  10.14.0.5              14   0021.910d.76da  ARPA   Vlan18
Internet  10.29.10.28             0   0016.d4b4.fc6a  ARPA   Vlan36
Internet  10.26.0.17            169   0022.b0e5.8190  ARPA   Vlan24
Internet  10.12.0.7              48   0021.9131.5d59  ARPA   Vlan17
Internet  10.29.20.2              -   0016.9da6.2258  ARPA   Vlan35
Internet  10.0.7.12               0   0015.1760.ed64  ARPA   Vlan1
Internet  10.9.0.2                -   0016.9da6.2246  ARPA   Vlan15
Internet  10.28.171.191           4   0023.cdb5.307a  ARPA   Vlan26
Internet  10.2.0.10               0   e0cb.4eb2.f577  ARPA   Vlan11
Internet  10.14.0.6               9   00e0.4d04.6628  ARPA   Vlan18
Internet  10.2.1.11             166   001d.7d98.6866  ARPA   Vlan11
Internet  10.1.0.9              180   0019.dbcd.f396  ARPA   Vlan13
Internet  10.24.10.26             1   0019.db50.71b6  ARPA   Vlan106
Internet  10.6.0.14              60   001d.723d.ff35  ARPA   Vlan13
Internet  10.15.0.7               6   0000.0000.0010  ARPA   Vlan32
Internet  10.29.20.1              7   0022.838f.8782  ARPA   Vlan35
Internet  10.9.0.1                0   0022.838f.8781  ARPA   Vlan15
Internet  10.18.0.27              8   0022.b0e5.5b1d  ARPA   Vlan21
Internet  10.29.11.31            65   0001.6cee.9960  ARPA   Vlan37
Internet  10.25.0.16              0   0004.6144.c173  ARPA   Vlan23
Internet  10.2.244.255           44   0080.4813.beed  ARPA   Vlan11
Internet  10.26.0.19              1   0022.19f2.c6ec  ARPA   Vlan24
Internet  10.29.0.20            130   0060.6e00.018f  ARPA   Vlan33
Internet  10.9.1.1                0   0013.d3ae.ffa8  ARPA   Vlan15
Internet  10.15.0.6              15   0022.b0f4.90d2  ARPA   Vlan32
Internet  10.8.0.1                0   0022.838f.8781  ARPA   Vlan14
Internet  10.21.30.2              -   0016.9da6.225e  ARPA   Vlan103
Internet  10.11.0.2               -   0016.9da6.2247  ARPA   Vlan16
–More–

ну и там куча еще адресов.

Допустим нам нужно заблочить товарища с адресом 10.22.6.66. Смотрим arp запись с таким адресом

Switch#sh ip arp | i 10.22.6.66
Internet  10.22.6.66             67   0080.4846.0840  ARPA   Vlan20

Видим mac адрес – 0080.4846.0840

Теперь собственно сам механизм acl cisco. Заходим в режим конфигурирования и добавляем access-list

Switch#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)#mac access-list extended test
Switch(config)#deny host 0080.4846.0840 any
Switch(config)#deny any host 0080.4846.0840
Switch(config)#permit any any

Последнее разрешающее правило permit any any нужно, чтобы не отключить остальных пользователей, поскольку по умолчанию в acl cisco принята политика, запрещающая всё и вся :)

Осталось только привязать наш acl к определённому интерфейсу. Делается это элементарно

Switch(config)#interface g0/22
Switch(config-if)#mac access-group test in

На этом всё. Такой acl cisco не пропустит данный mac адрес никуда.

Поделись:
  • Добавить ВКонтакте заметку об этой странице
  • Мой Мир
  • Facebook
  • Twitter
  • LiveJournal
  • MySpace
  • В закладки Google
  • Google Buzz
  • Яндекс.Закладки
  • LinkedIn
  • Technorati
  • del.icio.us
  • Digg
  • БобрДобр
  • Memori.ru
  • МоёМесто.ru
  • Сто закладок
  • Blogger
  • Блог Li.ру
  • Блог Я.ру
  • Одноклассники

Метки: ,
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Загрузка ... Загрузка ...



Оставить комментарий или два

RSS

rss Подпишитесь на RSS для получения обновлений.

Add to Google Reader or Homepage

Подписаться на рассылку E-Mail:

Опрос

Статьи на какую тему Вам более интересны?

Просмотреть результаты

Загрузка ... Загрузка ...