DHCP пару вопросов

[XliN]

Как мне запретить на циске прохождение всех IP из пулов и открывать только привязав IP по MAC адресу к конкретному пользователю?

Код: Выделить всё

ip dhcp pool Mars 
 host 172.16.2.254 
 hardware-address 02c7.f800.0422 ieee802
 client-name Mars

Вот так я понимаю надо на каждого пользователя. А как запретить остальных?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[hizel]

в аксес листе прописать только тех кто прописан в dhcp

[XliN]

А можно подробнее. Не получается разобраться.

[XliN]

Вот мое письмо сисадмину

> У меня стоит CMTS(головная модемная станция) 7111. Она роздает IP клиентам по DHCP. Т.е. Клиент подсоединен к модему, а CMTS из двух пулов дает Ip. Первый самому модему, а второй уже сетевой карточке.
> Как мне запретить на циске прохождение всех IP из обоих пулов и открывать только привязав IP по MAC адресу к конкретному пользователю?
> А то любой чел может купить модем и подрубиться к инету. Ему прекрасно все раздаться и IP и шлюзик и т.д.
Ну и пусть его модем получит адрес... Модем в интернет не ходит, туда
ходит CPE...
>
> ip dhcp pool Mars
> host 172.16.2.254
> hardware-address 02c7.f800.0422 ieee802
> client-name Mars
>
> Вот так я понимаю надо на каждого пользователя. А как запретить остальных?
Правильно. Очень просто - там есть ACL, в которой перечислены адреса,
которым разрешен выход в интернет, и которым должен управлять биллинг
(номера 105 и 106, подробности в мануале к UTM) привяжи его к кабельным
интерфейсам (Cable...), все адреса которых там нет - идут курить на
крылечко...

на циске есть строчки которые были взяты с доки UTM

Код: Выделить всё

access-list 105 dynamic inc permit ip any any
access-list 105 permit ip 172.16.0.0 0.0.0.255 any
access-list 106 dynamic outc permit ip any any
access-list 106 permit ip 172.16.0.0 0.0.0.255 any

Код: Выделить всё

ip dhcp pool Mars 
host 172.16.1.3 
hardware-address 02c7.f800.0422 ieee802
client-name Mars

Этого будет достаточно?

[XliN]

> access-list 105 dynamic inc permit ip any any
> access-list 105 permit ip 172.16.0.0 0.0.0.255 any
> access-list 106 dynamic outc permit ip any any
> access-list 106 permit ip 172.16.0.0 0.0.0.255 any
сейчас открыто для всех из сети 172.16.0.0/24, а должны быть прописаны
все клиенты, у которых есть доступ. Подробнее читай на cisco.com.

как это сделать?
у меня прописан пользователь

Код: Выделить всё

ip dhcp pool Mars 
host 172.16.1.3 
hardware-address 02c7.f800.0422 ieee802
client-name Mars

[hizel]

cisco сайт наполнен инормацией на все случаи жизни
все в открытом доступе

например
http://www.cisco.com/en/US/tech/tk722/t ... ed26.shtml

[XliN]

Не пойму. Как я понимаю CMTS долна проверять МАС адрес и если он совпадает давать IP который прописат в самой циске.
Тогда почему не роботает? Вот что я натворил.
1. Исправил правила доступа и открыл доступ только на 1 модем.

access-list 105 dynamic inc permit ip any any
access-list 105 permit host 172.16.0.3 any
access-list 106 dynamic outc permit ip any any
access-list 106 permit host any 172.16.0.3 0.0.0.255

в int cable 1/0 дописал

ip access-group 105 in
ip access-group 106 out

И создал новый пул для пользователя

ip dhcp pool user2
host 172.16.1.3 255.255.255.0 - тут IP надо модема или хоста?
hardware-address 000e.5c01.155c - взял с наклейки модема
client-name user2

После всего этого, как я понимаю, модем с этим МАС адресом должен автоматом прописаться с IP 172.16.1.3
Что не верно?