Содержание

Описание

Команда предназначена для управления фильтром, работа которого основана на соответствии MAC и IP-адресов.

Синтаксис:

macf IFNAME {MAC|"any"} {IP|"any"} "Comment"
macf IFNAME del N
macf IFNAME {[-]dhcp [-]strict | [-]reverse | [-]simple | [-]quiet}
macf show | clear

Параметры

ПараметрОписание

IFNAME

Сетевой интерфейс, для которого в таблицу соответствия будет добавлена или удалена запись.

{MAC|"any"} {IP|"any"} "Comment"


Добавить в таблицу соответствие MAC-адреса (MAC) и IP-адреса (IP). Аргумент "any" означает любой MAC или IP-адрес. Для удобства к записи может быть добавлен комментарий (Comment).

В таблицу не может быть добавлено две записи с одинаковыми MAC-адресами.

del N


Удаление записи номер "N" из таблицы соответствия. Номер записи можно получить с помощью команды "macf show".

{[-]dhcp [-]strict | [-]reverse | [-]simple | [-]quiet}

Фильтр может работать в двух режимах:

Обычный режим - установлен по умолчанию. Все станции, не описанные в таблице соответствия, будут обслуживаться без каких-либо ограничений.

Строгий режим (strict) - сетевые пакеты от узлов, не описанных в таблице соответствия, будут отбрасываться.

Если вы конфигурируете маршрутизатор удалённо, через telnet, то, включая режим "strict", убедитесь, что ваша рабочая станция уже внесена в таблицу соответствия. Иначе вы потеряете контроль над маршрутизатором, и отменить этот режим можно будет только через диагностический порт.

Алгоритм работы фильтра включает в себя 2 этапа:

  1. Фильтр выполняет поиск MAC-адреса в таблице.
  2. Если таковой обнаружен, то выполняется проверка соответствия IP-адресов.

Действие параметров:

  1. Параметр "reverse" изменяет порядок обработки на обратный: сначала выполняется поиск IP-адреса, затем сравниваются MAC-адреса.

  2. Параметр "simple", алгоритм проходит только первый этап. Если поиск был успешным, то пакет будет принят. В противном случае пакет будет отброшен, независимо от установленного параметра "strict".

  3. Параметр "dhcp" активирует автоматическое наполнение таблицы соответствия, которые будут получены от локального сервера DHCP. Эти записи не сохраняются в постоянной конфигурации и остаются актуальными только до тех пор, пока выданный адрес не будет удален сервером DHCP.

  4. Параметр "quiet" отключает запись сообщений в системный журнал. Если сетевой пакет отбрасывается фильтром, то этот факт регистрируется в системном журнале (sys log). Чтобы предотвратить лавину регистрационных пакетов, регистрируется только первая попытка нарушения из группы однотипных.

show | clear

  • Параметр "show" выводит текущую таблицу соответствия.
  • Параметр "clear" производит удаление всех записей из таблицы.

Примеры

Команды добавляют в таблицу соответствия две записи о том, что MAC-адресам 102030405060 и 203040506070 соответствуют IP-адреса 1.1.1.1 и 2.2.2.2. Для удобства добавлены комментарии, указывающие на принадлежность IP-адресов.

macf 102030405060  1.1.1.1  Room123
macf 203040506070  2.2.2.2  Room125

Команда выводит текущую таблицу соответствий.

macf show
macf 1 0020af915099 192.78.64.99  Server 
macf 2 0020af9150a3 192.78.64.194 Room94 
macf 3 0020af9150a4 192.78.64.134 Room57 
macf 4 0020af9150a7 192.78.64.174 Admin

Все рабочие станции локальной сети подключены непосредственно к интерфейсу ethernet абонентского блока. В этом случае можно использовать самый простой, классический вариант фильтра, возможно усиленный параметром "strict":

macf IFNAME MAC IP [strict]

Если между абонентским блоком и локальной сетью стоит промежуточный маршрутизатор, то можно использовать вариант "reverse strict" или "reverse simple", перечислив все допустимые IP-адреса рабочих станций, а в качестве MAC-адреса установить адрес промежуточного маршрутизатора.

Если к абонентскому блоку подключено несколько локальных сетей, отделённых промежуточными маршрутизаторами, то возможно будет полезным вариант "simple" или "reverse strict" c перечислением MAC адресов маршрутизаторов.

Во многих случаях, более удобным способом для решения этой задачи может быть использование команды "arp".