Фильтр соответствия MAC и IP-адресов
Синтаксис:
macf MAC IP Сomment
macf del N
macf [-]dhcp [-]strict | [-]reverse | [-]simple | [-]quiet
macf show | clear
Команда "macf MAC IP" добавляет в таблицу очередную пару соответствия.
macf 102030405060 1.1.1.1 Room123 macf 203040506070 2.2.2.2 Room125
Посмотреть текущую таблицу соответствия можно командой "macf show" или "co show":
macf show macf 1 0020af915099 192.78.64.99 Server macf 2 0020af9150a3 192.78.64.194 Room94 macf 3 0020af9150a4 192.78.64.134 Room57 macf 4 0020af9150a7 192.78.64.174 Admin
Внутренние номера присваиваются системой автоматически и могут быть использованы для удаления правил из таблицы, командой "macf del N".
Команда "macf clear" полностью очищает таблицу соответствия.
Запись сообщений в системный журнал можно отключить с помощью опции "quiet".
Фильтр может работать в двух режимах.
В обычном режиме (по умолчанию) все станции, не описанные в таблице соответствия, будут обслуживаться без каких-либо ограничений.
В строгом режиме (включается командой "macf strict"), пакеты от станций, не описанных в таблице соответствия, будут отбрасываться.
ПРЕДОСТЕРЕЖЕНИЕ
Если вы конфигурируете маршрутизатор удалённо, через telnet, то, включая режим "strict", убедитесь, что ваша рабочая станция уже внесена в таблицу соответствия. Иначе вы потеряете контроль над маршрутизатором, и отменить этот режим можно будет только через диагностический порт.
В любом случае, если пакет отбрасывается фильтром, то этот факт регистрируется сообщением системный журнал (sys log). Чтобы предотвратить лавину регистрационных пакетов, регистрируется только первая попытка нарушения из группы однотипных.
Алгоритм работы фильтра состоит из двух частей.
В нормальном режиме работы:
1. Фильтр выполняет поиск MAC-адреса в таблице
2. Если таковой обнаружен, то выполняется проверка соответствия IP-адресов.
Включение опции "reverse" изменяет порядок обработки на обратный:
ВНИМАНИЕ
Параметр, определяемый в первом пункте, является ключевым и не может находится в таблице более одного раза
С включенной опцией "simple", алгоритм выполняет только 1-ый пункт.
Если поиск произведён удачно, то пакет будет принят. В противном случае пакет будет отброшен, независимо от значения опции "strict". Значение второго параметра при этом не играет роли.
При включенной опции "dhcp", фильтр "macf" автоматически дополняется адресами, выдаваемыми локальным DHCP сервером. Эти записи не сохраняются в постоянной конфигурации и работают только до тех пор, пока выданный адрес не будет удалён DHCP сервером.
Возможные сценарии использования фильтра:
1. Плоская модель. Все рабочие станции абонентской локальной сети подключены непосредственно к ethernet интерфейсу абонентского блока.
В этом случае можно использовать самый простой, классический вариант фильтра, возможно усиленный опцией "strict":
macf MAC IP [strict]
2. Если между абонентским блоком и локальной сетью стоит промежуточный маршрутизатор, то можно использовать вариант "reverse strict" или "reverse simple", перечислив все допустимые IP-адреса рабочих станций, а в качестве MAC поставить MAC-адрес промежуточного маршрутизатора.
3. Если к абонентскому блоку подключено несколько локальных сетей, отделённых промежуточными маршрутизаторами, то возможно будет полезным вариант "simple" или "reverse strict" c перечислением MAC адресов маршрутизаторов.
ВНИМАНИЕ
Во многих случаях, более удобным способом для решения этой задачи может быть использование команды "arp".