LINUX.ORG.RU
ФорумAdmin

Cisco 2950 и vlan


0

1

Добрый день. Есть cisco 2950, к ней в 3-й порт включен хаб, к которому подключены 5 юзеров, адреса 192.168.10.5-9. Нужно на цыске сделать чтобы юзеры ходили в инет, но при смене ip - не могли этого делать. Пробовали через access-list, но в 2950 не работает фича применения access-group на интерфейс fa 0/3... Говорят как-то можно через vlan это сделать, но как - непонятно. Подскажите, кто умеет ;)

Hostapd не происходит аутетификация
DHCP раздает всем адреса. Как запретить?

Vlan вам тут не поможет. Вам нужны именно access-list. Все должно работать. И применение access-group это даже не фича.

pyatak123
()
Ответ на: комментарий от adxfighter

Делаю так:

Access-list 3 permit 192.168.10.5

Conf t

Interface fa 0/3

Ip access-group 3 in

Invalid input detected at '^' marker.

Это если на интерфейс вешаю..... Прошили последней прошивкой аппарат, все равно не работает, с 2960 проблем нет.

baltazor
() автор топика
Последнее исправление: baltazor (всего исправлений: 1)
Ответ на: комментарий от hizel

На cisco.com на странице о layer 2 interface нет 2000серии в supported platform, хотя на 2960 вроде как работает то что хочу сделать на 2950. Или чего не понимаю?

baltazor
() автор топика
Ответ на: комментарий от baltazor

Это нужно делать на роутере. Если хочется блокировать на свиче, то прибей мак адреса к портам к примеру.

blind_oracle ★★★★★
()
Ответ на: комментарий от hizel

По 2950 есть пример Numbered ACL Examples, точь в точь как у меня, но у меня не работает, с ошибкой Invalid input detected at '^' marker.

baltazor
() автор топика
Ответ на: комментарий от baltazor

Может стоит иос обновить?

А, вижу прошили последний. Тогда странно. В любом случае подход так себе, сделай на роутере статические арп-записи для этих товарищей, если действительно хочешь их так блокировать.

blind_oracle ★★★★★
()
Последнее исправление: blind_oracle (всего исправлений: 1)
Ответ на: комментарий от blind_oracle

Наверно попробую port-security с завязкой на нужные mac-адреса, если другого выхода нет :( видел в gui функцию где показывало все маки на интерфейсах, подскажите команду для cli, под рукой цыски нет, не могу проверить что показывает show mac-address-table

baltazor
() автор топика
Ответ на: комментарий от blind_oracle

2950 уже LDoS, софт для него давно не обновляется, т.ч. ничего странного. Никуда кроме единственного SVI прикрутить IP ACL на нём не удастся.

Прибивание мак-адресов и port-security для данной конкретной задачи (не пускать при смене IP) не поможет.

frob ★★★★★
()
Ответ на: комментарий от baltazor

Да, не поможет. У тебя же есть железяка, которая людей в инет выводит? Вот на ней и делай статическую арп-таблицу. А вообще привязываться к айпи и мак это моветон. У меня у всех адреса динамические, а авторизация идёт на прокси прозрачно через домен. Самое то.

blind_oracle ★★★★★
()
Ответ на: комментарий от baltazor

И чуть ниже note который я уже приводил. 2950 умеет фильтровать L3 только обращенный к нему.

hizel ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Hostapd не происходит аутетификация
Admin
DHCP раздает всем адреса. Как запретить?