大件事了，在可管理的交换机上找不到6672这个网卡地址，怎么办啊！

zmc837 · 发表于 2006-8-29 11:58:45

今天对网络进行监控，发现mac为6672的机器有异常网络活动，想到交换机上先隔离该端口，但问题出现了交换机b的24口和交换机a的22口相连（相当于uplink口），对这两个交换机进行地址查询的时候，在交换机a上查询，它指出该地址是在交换机b上，在交换机b查询，它指出该地址在交换机a上，晕了，请兄弟帮助啊！

[ 本帖最后由 zmc837 于 2006-8-29 17:48 编辑 ]

garnett_wu · 发表于 2006-8-29 14:11:00

会不会有人制造假冒的MAC地址?

其实简单的方法将其中一个端口disable ，这样在观察 6672网络状态，就可以分辨出原因

artico · 发表于 2006-8-29 14:14:27

MAC6672机器到底是在那个交换机下呢？或者MAC6672机器关掉，过段时间在查看一下交换机的ARP！

[ 本帖最后由 artico 于 2006-8-29 14:15 编辑 ]

zmc837 · 发表于 2006-8-29 16:42:22

原帖由 garnett_wu 于 2006-8-29 14:11 发表
会不会有人制造假冒的MAC地址?

其实简单的方法将其中一个端口disable ，这样在观察 6672网络状态，就可以分辨出原因

６６７２这个地址昨天就发现它在做不正常的网络活动了，应该是比较固定的mac地址（就算是假冒的算是比较老实的了），将其中一个端口disable ，这个办法是想过，但不敢，因为不论关闭那个交换机，到会导致和之相连的主机不能上网，上班时间不敢乱来，下班时间6672的主机又关机了，现在我想这么做：

网络拓扑简单描述：
华为2026c-si交换机b 的24口接华为2026c-si交换机a的22口（级联口），交换机a的24口接华为3526核心交换机e0/1口：
即：核心交换机3526 e0/1----->交换机a e0/24;
交换机a e0/22(级联口)----->交换机b e0/24.

核心交换机二层访问控制列表命令如下图：

操作	命令
进入二层访问控制列表视图（系统视图）	acl { number acl-number \| name acl-name link }[ match-order { config \| auto } ]
定义子规则（二层访问控制列表视图）	rule [ rule-id ]{ permit \| deny } [ ingress { { source-vlan-id \| source-mac-addr \| interface { interface-name \| interface-type interface-num } }* \| any } ] [ egress { { destination-vlan-id \| dest-mac-addr \| interface { interface-name \| interface-type interface-num } }* \| any } ] [ time-range name ]

本人做如下配置（想在核心交换机定义acl 4100,限制6672上网，也就是隔离6672),但配置不成功，请继续指点：

zmc837 · 发表于 2006-8-29 16:50:28

操作手册如例：
MAC-MAC表示配置的规则是从源MAC地址到目的MAC地址的二层访问控制列表的规则，比如“rule 0 permit ingress 00e0-fc01-0101 1 egress 00e0-fc01-0102 1 time-range huawei”。
MAC-any表示配置的规则是从源MAC地址到报文的发送端口的二层访问控制列表，比如““rule 0 permit ingress 00e0-fc01-0101 1 egress any time-range huawei”。

疑问：
"^"处要求的是地址通配符，并且例子里给的是1，我给的也是1（ip地址的是0)不正确,该怎么配置呢？

zmc837 · 发表于 2006-8-29 16:55:40

人呢？都去那里了，都快急死了！

zmc837 · 发表于 2006-8-29 17:33:29

等了好久都没有热心观众

zmc837 · 发表于 2006-8-29 18:05:03

唉～～～～～～～～～～～下班了，不知道这个对不对，要到明天有人报上不了网才知道：
rule 0 deny ingress 00e0-4cf8-6672 0000-0000-0000 egress any
rule 0 deny egress 00e0-4cf8-6672 0000-0000-0000 ingress any

菜鸟人飞 · 发表于 2006-9-8 11:51:57

兄弟，结果怎样，我们都在期待！

zmc837 · 发表于 2006-9-8 15:35:39

结果是成功的，只是设置好了保存设置结果之后，如果此时对方还在线的话还能正常上网，如果对方下次开机就完全被封杀了，是一个办法，但不是最好的办法，没有物理隔离干脆。

wszhoubo · 发表于 2006-10-20 20:26:48

有没有QQ群啊？我的QQ68005430，搞个群吧~大家即时交流学习~

sbyguli · 发表于 2006-11-5 23:10:50

学习以下，谢谢LZ

tongsheng319 · 发表于 2007-1-30 15:02:21

我有个群的，版主要的话可以奉献
群号：24153669
我的QQ：36655970

lingyungong79 · 发表于 2007-1-30 16:59:55

大嘴又来老啥，刚才顺便查了一下，在不知道端口而只知道MAC地址的情况下，你用的是MAC_ANY
acl number 200
rule 0 deny ingress 1 00e0-4cf8-6672 egress any
packet-filter link-group 200 rule 0
从来都没有设置过，解释一下好吗？
acl number 4000
rule 1 deny arp ingress xxxx-xxxx-xxxx xxxx-xxxx-xxxx egress any
packet-filter link-group 4000 rule 1
第二个才可以哦~

不懂乱发，不要见怪啊~

lingyungong79 · 发表于 2007-1-30 17:00:54

定义一个link级的acl，命令为acl name mac-filter link，mac-filter 是此acl名称，接着定义一个rule，rule 1 deny ingress 0030-6e01-f8ea 0000-0000-0000 egress any，其中0030-6e01-f8ea是将要过滤的mac地址，0000-0000-0000是通配符，最后使用packet-filter link-group mac-filter rule 1使该规则生效

lingyungong79 · 发表于 2007-1-30 17:06:23

仔细一看原来楼主发贴已经一万年了，郁闷~

今晚打老虎 · 发表于 2007-1-31 15:50:50

就大嘴这种精神，版主都应该加分鼓励。

顶大嘴一个

大件事了，在可管理的交换机上找不到6672这个网卡地址，怎么办啊！

本帖子中包含更多资源

本帖子中包含更多资源

评分