MAC catalyst acl

@kycik · Регистрация: 04.06.2013

Студворк — интернет-сервис помощи студентам

Понадобилось заблокировать на коммутаторе нежелательных клиентов, смотрю в сторону acl но там он требует при создании листа указать 48-ми битную сначало указал типа 001a.92e1.62dc каталист ругнулся, полистав мануал понял что требуется маска вида 1111.1111.1111 ffff.ffff как ее посчитать? Нигде не найду ман по переводу в нужный формат. И еще есть еще какие-ть способы блокировки по mac так что бы разрешено только тем кто указан а остальное запретить? Способ поднять на интерфейсе mode access рузультата желаемого не дал т.к. при нарушении безо-ти порт шел shutdown хотя справка указала
protect ++++ Security violation protect mode
restrict ++++ Security violation restrict mode
shutdown++++ Security violation shutdown mode

указывал restrict порт падал....или я что-то не так понял.

Jabbson · 31.07.2013, 14:32

По первой части вопроса:
покажите (полностью) как Вы думали все сделать, по какой доке ориентировались?

По поводу второй части вопроса:
То, что Вы ищите, называется "switchport port-security"

@kycik · 31.07.2013, 15:05 **[ТС]**

щас все уже закрыл, но подобный ман вот
http://www.faq-cisco.ru/articl... ac-adresam
на остальных примерно тоже самое, там мак вида permit 0000.8600.0000 0000.00ff.ffff any 0×806 0×0
запись не понятная для меня.

Сообщение от Jabbson

То, что Вы ищите, называется "switchport port-security"

ну да только я не понял что значат protect и restrict второй ограничение, я думал что не пускать кроме разрешенных, но блочит в итоге все, про первый я ваще ниче не понял...не поясните эти два значения, или где почитать на русском забугорные листал не совсем понял.

Jabbson · 31.07.2013, 15:42

0000.8600.0000
0000.00ff.ffff any 0x806 0x0

смысл тот же что и в обычном ACL.
Формат: {permit | deny} {{src-mac mask | any} {dest-mac mask | any} [protocol mask [vlan vlan] [cos value]]}

SOURCE+MASK: все маки, что начинаются с 0000.86 (в данном случае OUI принадлежащий MEGAHERTZ CORPORATION)
DESTIN+MASK: any
PROTOCOL+MASK: 0x806 0x0 (ARP)

protect отличается от restrict уведомлением о нарушении безопасности - в restrict оно отправляется, а в protect - нет.

@kycik · 31.07.2013, 16:15 **[ТС]**

Сообщение от Jabbson

protect отличается от restrict уведомлением о нарушении безопасности - в restrict оно отправляется, а в protect - нет.

а при нарушении безоп-ти порт отключатся должен при стандартных настройках, т.е. если прилетел на порт пакет от ненужного мака? если да то какая запись должна быть что бы пакеты просто с ненужным маком отбрасывались?

Сообщение от Jabbson

0x806 0x0 (ARP)

не знал что такая форма есть...а 0x0 это что 806 это сам арп а 0х0?

Добавлено через 8 минут

Сообщение от kycik

0000.8600.0000 0000.00ff.ffff

можно еще вопрос, почему f - широковещательный ну как 255 в айпи маске, а 0 - это что?
разве не так должно быть
0000.8600.0000 0000.86ff.ffff

Jabbson · 31.07.2013, 16:27

Сообщение от kycik

а при нарушении безоп-ти порт отключатся должен при стандартных настройках, т.е. если прилетел на порт пакет от ненужного мака? если да то какая запись должна быть что бы пакеты просто с ненужным маком отбрасывались?

отключаться будет в режиме shutdown

Сообщение от kycik

не знал что такая форма есть...а 0x0 это что 806 это сам арп а 0х0?

маска для типа

Сообщение от kycik

почему f - широковещательный ну как 255 в айпи маске, а 0 - это что?

также как и в wildcard для ip acl - 0=must match, 1=don't care

@kycik · 31.07.2013, 16:49 **[ТС]**

Сообщение от Jabbson

маска для типа

маска всегда 0 или где полистать про нее можно, просто разобраться хочу. :-)

Добавлено через 3 минуты
правильно ли я понял исходя из записи
0000.8600.0000 0000.00ff.ffff
мак адрес который начинается с 0000.86 разрешить(запрелить и т.д. смотря что в acl)?

Jabbson · 31.07.2013, 17:11

Сообщение от kycik

маска всегда 0 или где полистать про нее можно, просто разобраться хочу. :-)

не всегда (в большинстве случаев), только когда нужно полное совпадение ethertype. 0x0 = 0000
например 0x806 0x0 это тоже самое что
ethertype = 0x0806
ethermask = 0x0000

Сообщение от kycik

правильно ли я понял исходя из записи
0000.8600.0000 0000.00ff.ffff
мак адрес который начинается с 0000.86 разрешить(запрелить и т.д. смотря что в acl)?

да, парой сообщений выше я написал то же самое те ми же словами ))

Сообщение от Jabbson

SOURCE+MASK: все маки, что начинаются с 0000.86 (в данном случае OUI принадлежащий MEGAHERTZ CORPORATION)

@kycik · 31.07.2013, 17:28 **[ТС]**

спасибо что пояснили!

Jabbson · 31.07.2013, 17:28

Сообщение от kycik

спасибо что пояснили!

всегда пожалуйста.

@kycik · 31.07.2013, 17:31 **[ТС]**

Сообщение от Jabbson[quote="Jabbson

0x806

а если нужно указать с 806 по 810 маску можно прописать или отдельно писать нодо?

Jabbson · 31.07.2013, 17:57

одной строчкой этот диапазон из пяти типов закрыть нельзя
максимум можно сократить до трех

0x806 0x1
0x808 0x1
0x810 0x0

вот диапазон 806-811 можно было бы закрыть двумя строчками.

Новые блоги и статьи Все статьи Все блоги /
Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .	Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .
Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .	Фото: Daniel Greenwood kumehtar 13.11.2025	Расскажи мне о Мире, бродяга kumehtar 12.11.2025 — Расскажи мне о Мире, бродяга, Ты же видел моря и метели. Как сменялись короны и стяги, Как эпохи стрелою летели. - Этот мир — это крылья и горы, Снег и пламя, любовь и тревоги, И бескрайние. . .	PowerShell Snippets iNNOKENTIY21 11.11.2025 Модуль PowerShell 5. 1+ : Snippets. psm1 У меня модуль расположен в пользовательской папке модулей, по умолчанию: \Documents\WindowsPowerShell\Modules\Snippets\ А в самом низу файла-профиля. . .

@kycik 0 / 0 / 0 Регистрация: 04.06.2013 Сообщений: 112

	MAC catalyst acl 31.07.2013, 14:02. Показов 2972. Ответов 11 Метки нет (Все метки) Понадобилось заблокировать на коммутаторе нежелательных клиентов, смотрю в сторону acl но там он требует при создании листа указать 48-ми битную сначало указал типа 001a.92e1.62dc каталист ругнулся, полистав мануал понял что требуется маска вида 1111.1111.1111 ffff.ffff как ее посчитать? Нигде не найду ман по переводу в нужный формат. И еще есть еще какие-ть способы блокировки по mac так что бы разрешено только тем кто указан а остальное запретить? Способ поднять на интерфейсе mode access рузультата желаемого не дал т.к. при нарушении безо-ти порт шел shutdown хотя справка указала protect ++++ Security violation protect mode restrict ++++ Security violation restrict mode shutdown++++ Security violation shutdown mode указывал restrict порт падал....или я что-то не так понял. 0

Jabbson 5906 / 3358 / 1036 Регистрация: 03.11.2009 Сообщений: 10,008
	31.07.2013, 14:32
	По первой части вопроса: покажите (полностью) как Вы думали все сделать, по какой доке ориентировались? По поводу второй части вопроса: То, что Вы ищите, называется "switchport port-security" 0

Jabbson 5906 / 3358 / 1036 Регистрация: 03.11.2009 Сообщений: 10,008
	31.07.2013, 15:42
	0000.8600.0000 0000.00ff.ffff any 0x806 0x0 смысл тот же что и в обычном ACL. Формат: {permit \| deny} {{src-mac mask \| any} {dest-mac mask \| any} [protocol mask [vlan vlan] [cos value]]} SOURCE+MASK: все маки, что начинаются с 0000.86 (в данном случае OUI принадлежащий MEGAHERTZ CORPORATION) DESTIN+MASK: any PROTOCOL+MASK: 0x806 0x0 (ARP) protect отличается от restrict уведомлением о нарушении безопасности - в restrict оно отправляется, а в protect - нет. 0

@kycik 0 / 0 / 0 Регистрация: 04.06.2013 Сообщений: 112
	31.07.2013, 17:28 [ТС]
	спасибо что пояснили! 0

Jabbson 5906 / 3358 / 1036 Регистрация: 03.11.2009 Сообщений: 10,008
	31.07.2013, 17:57
	одной строчкой этот диапазон из пяти типов закрыть нельзя максимум можно сократить до трех 0x806 0x1 0x808 0x1 0x810 0x0 вот диапазон 806-811 можно было бы закрыть двумя строчками. 0