HP 1920 как создать ACL по MAC адресам

@dmitriMK · Регистрация: 02.07.2015

Студворк — интернет-сервис помощи студентам

Всем привет, помогите создать ACL лист по MAC адресам на коммутаторе HP 1920.

Надо на всех портах коммутатора запретить все не знакомые MAC адреса, разрешить только разрешенные по списку MAC адреса на определенном порту.

все что у меня получилось это только создать номер ACL - 4001 - а по всем остальным каша получается, кто настраивал подскажите в какой последовательности создавать?

@insect_87 · 23.01.2017, 16:21

может лучше в сторону port security посмотреть?

@dmitriMK · 24.01.2017, 16:12 **[ТС]**

вот это я не заметил, ок, спасибо, попробую, отпишу по результату

Добавлено через 22 часа 59 минут
insect_87, да на 1920 port security есть, пока не разобрался как работает но суть работы понял, а как быть если 1910 еще есть?, там нет такой настройки "port security"

попробовал его пере прошить новой прошивкой "1910_5.20.R1518P01" от 2016 года, такой функции не появилось, модель ниже собрата своего - не положено, на 1910 получается только через ACL?

Добавлено через 8 минут
1910 и 1920 еще есть настройка Network - MAC , но через эту функцию задается только MAC на port(s), но не запрещаются все и разрешается один

@insect_87 · 25.01.2017, 08:22

ну не знаю, гуглить надо

@dmitriMK · 25.01.2017, 09:25 **[ТС]**

так вот и на гуглил первым вопросом про ACL, а с ACL по MAC в инете фактически нет ни чего, что бы я разобрался, так как такая каша настроек получается, если кто настраивал думал может подскажет в какой последовательности все параметры выставлять?

@dmitriMK · 07.02.2017, 13:06 **[ТС]**

Вот как то так у меня получилось:
1. Создал 2 ACL листа.
1.1 4001 - Permit - Suorse - прописываю MAC адреса MASK FFFF-FFFF-FFFF - т.е. все знаки важны.
https://drive.google.com/open?... HN5dnNfYzg
1.2 4002 - deny. - т.е. запрещаю всё.
https://drive.google.com/open?... EhxVWMyQlk
2. Создал два Classifier
2.1 Class1_Permit - ACL - 4001
https://drive.google.com/open?... FAzeG1rTkE
2.2 Class2_Deny - ACL - 4002
https://drive.google.com/open?... kozcE12QmM
3. Создал два правила Behavior (permit/deny)
3.1 Behavior1 - permit
https://drive.google.com/open?... EF0Tk1XSjQ
3.2 Behavior2 - deny
https://drive.google.com/open?... 1RGMDUxZFE
4. Создал QoS Policy - 1 - одно правило с двумя значениями.
Сlass1_Permit - Behavior1_Permit
Сlass2_Deny - Behavior2_Deny
https://drive.google.com/open?... WgxRHlGSGc
5. Port Policy вешаю все на входящий Inbound, указываю один порт или нужные порты и Apply.
https://drive.google.com/open?... kg4VFVfY0k

@AuSKY · 07.02.2017, 13:56

MASK FFFF-FFFF-FFFF это хост

Добавлено через 11 минут
Все нормально с маской. Задачу не так понял.

А вот QoS зачем тебе, если ты хочешь блокировать лишнее?

Добавлено через 29 минут
HP ProCurve 2650.
Не вижу ничего более подходящего чем:
ProCurve(config)# port-security x mac-address aaaabb-bbcccc

@dmitriMK · 07.02.2017, 15:08 **[ТС]**

AuSKY, через консоль пока не селён работать, а через web у разных моделей коммутаторов, разные параметры, ну они одни и те же только распиханы по разным местам порой, а QoS везде есть, вот и решил резать чужеродной на портах центральных коммутаторов приходящие от мелких их собратьев, т.е. есть 48 портовый из 1 порта кабель уходит в кабинет на 8 портовый и затея в том что бы на 8 портовом прописать статикой MAC к порту на HP1910 - через 802.1.Х, на 1920 включаю MAC аунтификацию, а на 48 портовом на 1ый порт вешаю ACL MAC всего диапазона адресов с 8 портового коммутатора дабы избежать коллизии если кто чего подключит к входящему кабелю.
Понятно что подмена MAC и все пучком, хотя бы от простака спасет от не нужного устройства.

Только учусь и может показаться мудрей не придумать, в общем всегда рад полезным советам

@AuSKY · 07.02.2017, 16:09

QoS нужен для распределения приоритетов по трафику. И блокировать им что-то, если это вообще возможно, это как чесать левой пяткой правое ухо.

@Техник55 · 03.05.2017, 08:48

Добрый день.
Пытаюсь на HP-1920 привязать к порту определенный mac-address, но пищет ошибку:

C#
1
2
3
4
5
6
 port-security enable
interface GigabitEthernet1/0/48
 port access vlan 10
 port auto-power-down
 stp edged-port enable
 port-security max-mac-count 1

Когда ввожу определенный mac:

C++
1
2
port-security mac-address security 2c44-fd69-2a69 vlan 10
 Error: Security MAC address configuration failed.

Подскажите где неправильно делаю.
И еще в отличии от cisco я так понял что port-security можно настраивать либо в интерфейсе либо в глобальной конфигурации?!

@insect_87 · 03.05.2017, 15:20

покажи

Code
1
port-security mac-address security ?

@Техник55 · 03.05.2017, 15:40

Сообщение от insect_87

покажи
Код
port-security mac-address security ?

Вот так настроил и работает:

C++
1
2
3
4
5
6
7
8
9
interface GigabitEthernet1/0/1
 port access vlan 1111
 port auto-power-down
 stp edged-port enable
 port-security max-mac-count 3
 port-security port-mode autolearn
 port-security intrusion-mode blockmac
 port-security mac-address security sticky 0000-5e00-011f vlan 1111
 port-security mac-address security sticky 34db-fd1a-8540 vlan 1111

Т.е. прописал что action как бы

C++
1
port-security intrusion-mode blockmac

И прописал вот это

C++
1
 port-security port-mode autolearn

А это мне команда не нравится, автоматически учит mac-address, хочется чтобы руками можно было все писать, тогда не понятно какой выставлять режим port-security port-mode

Добавлено через 1 минуту

C++
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
display port-security mac-address security
MAC ADDR        VLAN ID  STATE           PORT INDEX                AGING TIME(s)
90e2-babb-5a00  1111     Security        GigabitEthernet1/0/2      NOAGED
90e2-babb-59ee  1111     Security        GigabitEthernet1/0/17     NOAGED
90e2-baca-7766  1111     Security        GigabitEthernet1/0/3      NOAGED
90e2-baca-7720  1111     Security        GigabitEthernet1/0/16     NOAGED
34db-fd1a-8540  1111     Security        GigabitEthernet1/0/1      NOAGED
0000-5e00-011f  1111     Security        GigabitEthernet1/0/1      NOAGED
0000-5e00-0129  1112     Security        GigabitEthernet1/0/4      NOAGED
34db-fd1a-8540  1112     Security        GigabitEthernet1/0/4      NOAGED
90e2-babb-59ef  1112     Security        GigabitEthernet1/0/5      NOAGED
90e2-baca-7767  1112     Security        GigabitEthernet1/0/6      NOAGED
0025-5cc6-5038  1010     Security        GigabitEthernet1/0/7      NOAGED
0025-5cc6-50b0  1010     Security        GigabitEthernet1/0/8      NOAGED
0025-5cc6-503a  1010     Security        GigabitEthernet1/0/9      NOAGED
000b-ab05-bae4  1010     Security        GigabitEthernet1/0/10     NOAGED
78ac-c0b7-c900  1111     Security        GigabitEthernet1/0/12     NOAGED
0025-5cc6-50b2  1010     Security        GigabitEthernet1/0/14     NOAGED
90e2-baca-7721  1112     Security        GigabitEthernet1/0/15     NOAGED
90e2-babb-5a01  1112     Security        GigabitEthernet1/0/18     NOAGED
a036-9f9d-19ab  815      Security        GigabitEthernet1/0/20     NOAGED
0025-5cc6-50b3  815      Security        GigabitEthernet1/0/20     NOAGED
0025-5cc6-503b  815      Security        GigabitEthernet1/0/20     NOAGED
0cc4-7aaa-34c9  815      Security        GigabitEthernet1/0/20     NOAGED
2c59-e540-0aca  815      Security        GigabitEthernet1/0/20     NOAGED
0cc4-7aaa-69bd  815      Security        GigabitEthernet1/0/20     NOAGED
3c08-f603-d195  815      Security        GigabitEthernet1/0/20     NOAGED
 
 --- 25 mac address(es) found ---

Добавлено через 2 минуты

C#
1
2
3
4
5
6
7
8
9
10
11
12
port-security port-mode ?
  autolearn                      autoLearn mode
  mac-authentication             macAddressWithRadius mode
  mac-else-userlogin-secure      macAddressElseUserLoginSecure mode
  mac-else-userlogin-secure-ext  macAddressElseUserLoginSecureExt mode
  secure                         secure mode
  userlogin                      userLogin mode
  userlogin-secure               userLoginSecure mode
  userlogin-secure-ext           userLoginSecureExt mode
  userlogin-secure-or-mac        macAddressOrUserLoginSecure mode
  userlogin-secure-or-mac-ext    macAddressOrUserLoginSecureExt mode
  userlogin-withoui              userLoginWithOUI mode

@Техник55 · 29.05.2017, 20:14

Снова начал привязывать mac-адреса к порту.
Необходимо руками привязать mac-адреса.

C
1
2
3
port-security port-mode secure
port-security intrusion-mode blockmac
port-security max-mac-count 1

Когда прописываю конкретный mac:

C++
1
 port-security mac-address security 0000-5e00-011f vlan 1111

то пишет ошибку: Error: Security MAC address configuration failed

Добавлено через 8 часов 37 минут
Решил попробовать с ACL, но тоже не получается. Непонятно значение MASK для mac-address?
АСL вроде создал. Как его к интерфейсу привязать?

Новые блоги и статьи Все статьи Все блоги /
Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .	Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .
Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .	Фото: Daniel Greenwood kumehtar 13.11.2025	Расскажи мне о Мире, бродяга kumehtar 12.11.2025 — Расскажи мне о Мире, бродяга, Ты же видел моря и метели. Как сменялись короны и стяги, Как эпохи стрелою летели. - Этот мир — это крылья и горы, Снег и пламя, любовь и тревоги, И бескрайние. . .	PowerShell Snippets iNNOKENTIY21 11.11.2025 Модуль PowerShell 5. 1+ : Snippets. psm1 У меня модуль расположен в пользовательской папке модулей, по умолчанию: \Documents\WindowsPowerShell\Modules\Snippets\ А в самом низу файла-профиля. . .

@dmitriMK 0 / 0 / 0 Регистрация: 02.07.2015 Сообщений: 8

	HP 1920 как создать ACL по MAC адресам 23.01.2017, 14:40. Показов 49923. Ответов 12 Метки нет (Все метки) Всем привет, помогите создать ACL лист по MAC адресам на коммутаторе HP 1920. Надо на всех портах коммутатора запретить все не знакомые MAC адреса, разрешить только разрешенные по списку MAC адреса на определенном порту. все что у меня получилось это только создать номер ACL - 4001 - а по всем остальным каша получается, кто настраивал подскажите в какой последовательности создавать? 0

@insect_87 11438 / 7007 / 1903 Регистрация: 25.12.2012 Сообщений: 29,398
	23.01.2017, 16:21
	может лучше в сторону port security посмотреть? 0

@dmitriMK 0 / 0 / 0 Регистрация: 02.07.2015 Сообщений: 8
	24.01.2017, 16:12 [ТС]
	вот это я не заметил, ок, спасибо, попробую, отпишу по результату Добавлено через 22 часа 59 минут insect_87, да на 1920 port security есть, пока не разобрался как работает но суть работы понял, а как быть если 1910 еще есть?, там нет такой настройки "port security" попробовал его пере прошить новой прошивкой "1910_5.20.R1518P01" от 2016 года, такой функции не появилось, модель ниже собрата своего - не положено, на 1910 получается только через ACL? Добавлено через 8 минут 1910 и 1920 еще есть настройка Network - MAC , но через эту функцию задается только MAC на port(s), но не запрещаются все и разрешается один 0

@insect_87 11438 / 7007 / 1903 Регистрация: 25.12.2012 Сообщений: 29,398
	25.01.2017, 08:22
	ну не знаю, гуглить надо 0

@dmitriMK 0 / 0 / 0 Регистрация: 02.07.2015 Сообщений: 8
	25.01.2017, 09:25 [ТС]
	так вот и на гуглил первым вопросом про ACL, а с ACL по MAC в инете фактически нет ни чего, что бы я разобрался, так как такая каша настроек получается, если кто настраивал думал может подскажет в какой последовательности все параметры выставлять? 0

@dmitriMK 0 / 0 / 0 Регистрация: 02.07.2015 Сообщений: 8
	07.02.2017, 13:06 [ТС]
	Вот как то так у меня получилось: 1. Создал 2 ACL листа. 1.1 4001 - Permit - Suorse - прописываю MAC адреса MASK FFFF-FFFF-FFFF - т.е. все знаки важны. https://drive.google.com/open?... HN5dnNfYzg 1.2 4002 - deny. - т.е. запрещаю всё. https://drive.google.com/open?... EhxVWMyQlk 2. Создал два Classifier 2.1 Class1_Permit - ACL - 4001 https://drive.google.com/open?... FAzeG1rTkE 2.2 Class2_Deny - ACL - 4002 https://drive.google.com/open?... kozcE12QmM 3. Создал два правила Behavior (permit/deny) 3.1 Behavior1 - permit https://drive.google.com/open?... EF0Tk1XSjQ 3.2 Behavior2 - deny https://drive.google.com/open?... 1RGMDUxZFE 4. Создал QoS Policy - 1 - одно правило с двумя значениями. Сlass1_Permit - Behavior1_Permit Сlass2_Deny - Behavior2_Deny https://drive.google.com/open?... WgxRHlGSGc 5. Port Policy вешаю все на входящий Inbound, указываю один порт или нужные порты и Apply. https://drive.google.com/open?... kg4VFVfY0k 0

@AuSKY 17 / 17 / 3 Регистрация: 21.12.2016 Сообщений: 105
	07.02.2017, 13:56
	MASK FFFF-FFFF-FFFF это хост Добавлено через 11 минут Все нормально с маской. Задачу не так понял. А вот QoS зачем тебе, если ты хочешь блокировать лишнее? Добавлено через 29 минут HP ProCurve 2650. Не вижу ничего более подходящего чем: ProCurve(config)# port-security x mac-address aaaabb-bbcccc 0

@dmitriMK 0 / 0 / 0 Регистрация: 02.07.2015 Сообщений: 8
	07.02.2017, 15:08 [ТС]
	AuSKY, через консоль пока не селён работать, а через web у разных моделей коммутаторов, разные параметры, ну они одни и те же только распиханы по разным местам порой, а QoS везде есть, вот и решил резать чужеродной на портах центральных коммутаторов приходящие от мелких их собратьев, т.е. есть 48 портовый из 1 порта кабель уходит в кабинет на 8 портовый и затея в том что бы на 8 портовом прописать статикой MAC к порту на HP1910 - через 802.1.Х, на 1920 включаю MAC аунтификацию, а на 48 портовом на 1ый порт вешаю ACL MAC всего диапазона адресов с 8 портового коммутатора дабы избежать коллизии если кто чего подключит к входящему кабелю. Понятно что подмена MAC и все пучком, хотя бы от простака спасет от не нужного устройства. Только учусь и может показаться мудрей не придумать, в общем всегда рад полезным советам 0

@AuSKY 17 / 17 / 3 Регистрация: 21.12.2016 Сообщений: 105
	07.02.2017, 16:09
	QoS нужен для распределения приоритетов по трафику. И блокировать им что-то, если это вообще возможно, это как чесать левой пяткой правое ухо. 0