Cisco Catalyst 2950 - filtr MAC adres
Potřeboval bych na switchi Cisco Catalyst 2950 filtrovat MAC adresy. Přes program jde přiřadit MAC adresu jen jednomu portu. Je nutné, aby se počítač s danou MAC adresou mohl připojit do kteréhokoliv portu. Zkoušel jsem to přes telnet - konkrétně config terminal, mac access-table extended mactable, permit host H.H.H any, ale nevím, kde bych se podíval, jestli to je uložené a navíc to nefunguje.
Má někdo s tímto zkušenost a poradí mi, jak to udělat?
Případně bych ocenil nástroj pro filtraci na serveru Windows, verze 2008 R2 64bit. Našel jsem iptables pro Windows, které ale fungují maximálně ve verzi 2003.
Můžeš popsat, k čemu že to vlastně potřebuješ? Přiznám se, že takový postup mi připadá poněkud zvláštní.
Potřebuji povolit jen některé MAC adresy, aby se někdo cizí nemohl do sítě připojit.
řešení je zde: http://www.cisco.com/en/US/products/hw/switches/ps 646/products_configuration_example09186a0080470c39 .shtml
ale rovnou říkám, že to není to, co od toho asi čekáš. Viz diskuse zde: 164659
VLAN maps tento switch právě nepodporuje.
Jak jsem ale zjistil, tak filtrace MAC adres je v dnešní době skoro k ničemu, protože si představte, že jsem žák školní sítě, dostanu uživatelský účet, zjistím, že nemám do některých sdílených složek přístup, napíšu do příkazové řádky ipconfig /all, zjistím MAC adresu. Potom si přinesu vlastní notebook s Linuxem, změním MAC adresu (je to opravdu jednoduché, někteří výrobci to umožňují změnit přímo v nastavení karty), na kabel od počítače připojím svůj notebook a do sítě i složek se v pohodě dostanu, protože linux nečte NTFS oprávnění.
Existuje jiná možnost, jak síť zabezpečit? Napadá mě autorizace přes server RADIUS jménem a heslem, ale nevím, jak složité je tuto věc implementovat.
Myslím, že jsem ti to už nejednou psal
edit: Linux samozřejmě NT ACL podporuje..
, i když nechápu, kde se ti tam vzal, psal něco o Win2008. A ano, Radius by bylo řešení, i když osobně stále nechápu, s čím přesně máš problém. 
Ano, už jsme spolu něco podobného řešili. Hledám v tuto chvíli nějaké řešení pro server. Pro RADIUS jsem zjistil, že funguje jen ve Vistě a vyšších, takže také není moc použitelný pro naši síť s většinou Windows XP.
Zkus detailněji popsat, v čem je problém, protože si myslím, že hledáš zbytečně složité řešení.
Protože se jedná o školu, tak potřebuji zabezpečit síť, aby, když někdo přinese vlastní notebook, tak se nemohl připojit do sítě. když by měl na notebooku windows, tak by to tolik vadit nemuselo, ale v minulých dnech jsem testoval linux a zjistil, že se pak jde bez problému dostat do zabezpečených složek z windows. nevím, jak je to v síti, ale spustil jsem Live CD a zkusil procházet disk s Windowsem a do profilu jsem se dostal
edit: zdá se mi prostě nebezpečné nechat síť otevřenou, už i z důvodu, že by pak počítač mohl odesílat viry
No počkej, ale potom máš blbě nastaven ten server. Práva spravuje vždy server, nikoli klient! Takže bohatě stačí nastavit správně server
edit: odesílání virů se řeší:
a) blokací odchozího portu 25 směrem do internetu
b) doménou (a doménovými účty) v případě LAN (zavirovaný "cizí" PC nemá práva na přístup do doménových PC a jejich složek)
Aha, no tak v tom případě je vše v pořádku. Práva spravuje server. Myslel jsem, že linux nečte oprávnění a umožní přístup do složky, ale když je kontrola na straně serveru, tak se to potom nepodaří.
Vyzkouším to tedy přímo v síti.
Na routeru mám zablokovaný port 25.
PC jsou v doméně.
Díky moc za upřesnění. Ušetřil jsi mě dalšího přemýšlení a nastavování.