Bloquer Host na rede - WS-C2950G

Assunto: Bloquer Host na rede - WS-C2950G Qui Mar 25, 2010 12:23 pm

Senhores,
sou novo no uso de equipamentos Cisco, ainda estou engatinhando, gostaria de saber se há como bloquear um equipamento ligado no mesmo pelo MAC. Tabém gostaria de saber como identifico que um switch Cisco é layer 2 ou layer 3.
Obrigado.

Assunto: Re: Bloquer Host na rede - WS-C2950G Qui Mar 25, 2010 12:37 pm

Não entendi... você quer bloquear uma máquina pelo mac address para não se conectar ao switch, eh isso?

Quanto a outra dúvida... basta acessar o site da cisco e dar uma olhada nos switches, lá eles dizem se é L2 ou 3

Assunto: Continuação Qui Mar 25, 2010 12:48 pm

MOSCA escreveu:: Não entendi... você quer bloquear uma máquina pelo mac address para não se conectar ao switch, eh isso?

Quanto a outra dúvida... basta acessar o site da cisco e dar uma olhada nos switches, lá eles dizem se é L2 ou 3

Sim. Trabalho numa empresa onde identifiquei um usuário colocando um Acess Point na rede, já se falou algumas vezes com ele, mas sempre faz dinovo, gostaria de saber se com esse modelo de switch posso bloquear esse equipamento dele pelo MAC.
Abraço.

Assunto: Re: Bloquer Host na rede - WS-C2950G Qui Mar 25, 2010 1:11 pm

Nunca tentei, mas... acredito que há dois meios de se bloquear pelo mac address.

Uma por access-list (ex: access-list 701 deny <mac address>
Outra por port security

Mas na prática não saberia lhe dizer como

Assunto: Re: Bloquer Host na rede - WS-C2950G Sáb Mar 27, 2010 5:52 am

não sei se bloquear pelo MAC seria uma boa atitude. Pode até funcionar, mas lembre-se que access points SOHO possuem uma feature que permite clone de MAC. Portanto, o access point pode assumir o MAC da workstation, mascarando o mac do Access Point.

Nessas situações, geralmente, utiliza-se port security e BDPU guard.

O port security, simplesmente, vai limitar uma quantidade X de mac aprendido na interface.

Mesmo assim, nào há garantias, pois pode ser qualquer MAC. O que vai garantir, é a quantidade de usuários que utilizará o access point, se o mesmo for plugado.

A melhor solução é:

- Política clara para usuários, dizendo o que pode e o que não pode (se fizer algo errado, será punido de acordo).
- Colocar equipamentos em racks fechados ou salas com acesso controlado

Sobre se seu switch é multilayer ou não, dá um "show version" e veja o modelo do equipamento. Acesse o site da Cisco e lá mostrará. Ou cole aqui.

Assunto: Re: Bloquer Host na rede - WS-C2950G Sáb Mar 27, 2010 5:53 am

se for o C2950G, é layer 2 puro. Não é multilayer

Assunto: Re: Bloquer Host na rede - WS-C2950G Sáb Mar 27, 2010 12:18 pm

Bem lembrado ronaldo... eu havia esquecido o fato de clonar o mac-address.
O melhor mesmo é edutar os usuários e puni-los de acordo. Hoje em dia qualquer um mete na rede um 3g e voa-lá.. acesso full a internet

» Bloquer Toda entra na wan internet
» Problema com NAT - Roteador não consegue pingar host interno
» como especificar dhcp para que o host pegue ip do dhcp certo
» Ajuda com Sub Rede
» Rede Lenta