The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Привязка IP MAC"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"Привязка IP MAC"  +/
Сообщение от kuralesovo (??) on 28-Июн-06, 14:00 
Здравствуйте!

В сети есть пара умников которые постоянно меняют себе ip адреса
имеется каталист 3560....возможно ли на нем жестко привязать ip к mac

команду arp "ip" "mac" arpa пробовал........результат нулевой......
подскажите как настроить, куда копать

спасибо

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Привязка IP MAC"  +/
Сообщение от Eduard_k (ok) on 28-Июн-06, 15:38 
>Здравствуйте!
>
>В сети есть пара умников которые постоянно меняют себе ip адреса
>имеется каталист 3560....возможно ли на нем жестко привязать ip к mac
>
>команду arp "ip" "mac" arpa пробовал........результат нулевой......
>подскажите как настроить, куда копать
>
>спасибо


поищите на cisco.com на предмет configuring port-security

если мне не изменяет память должно быть что то типа:
interface FastEthernet0/2
switchport mode access
switchport port-security
switchport port-security mac-address <mac-address>
точно не помню

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Привязка IP MAC"  +/
Сообщение от kuralesovo (??) on 28-Июн-06, 17:06 
>>Здравствуйте!
>>
>>В сети есть пара умников которые постоянно меняют себе ip адреса
>>имеется каталист 3560....возможно ли на нем жестко привязать ip к mac
>>
>>команду arp "ip" "mac" arpa пробовал........результат нулевой......
>>подскажите как настроить, куда копать
>>
>>спасибо
>
>
>поищите на cisco.com на предмет configuring port-security
>
>если мне не изменяет память должно быть что то типа:
>interface FastEthernet0/2
> switchport mode access
> switchport port-security
> switchport port-security mac-address <mac-address>
> точно не помню


интересует именно привязка ip-mac, а не привязка mac к порту

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Привязка IP MAC"  +/
Сообщение от Eduard_k (ok) on 28-Июн-06, 22:32 
>>>Здравствуйте!
>>>
>>>В сети есть пара умников которые постоянно меняют себе ip адреса
>>>имеется каталист 3560....возможно ли на нем жестко привязать ip к mac
>>>
>>>команду arp "ip" "mac" arpa пробовал........результат нулевой......
>>>подскажите как настроить, куда копать
>>>
>>>спасибо
>>
>>
>>поищите на cisco.com на предмет configuring port-security
>>
>>если мне не изменяет память должно быть что то типа:
>>interface FastEthernet0/2
>> switchport mode access
>> switchport port-security
>> switchport port-security mac-address <mac-address>
>> точно не помню
>
>
>интересует именно привязка ip-mac, а не привязка mac к порту
Сорри, невнимательно прочел
тогда может вот это поможет
http://www.cisco.com/en/US/products/hw/switches/ps5528/produ...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Привязка IP MAC"  +/
Сообщение от littlevik email on 29-Июн-06, 06:45 
>Здравствуйте!
>
>В сети есть пара умников которые постоянно меняют себе ip адреса
>имеется каталист 3560....возможно ли на нем жестко привязать ip к mac
>
>команду arp "ip" "mac" arpa пробовал........результат нулевой......
>подскажите как настроить, куда копать
>
>спасибо

port-security + ACL.

!
int fa0/1
switchport access vlan x
switchport mode access
switchport port-security
switchport port-security violation protect
switchport port-security mac-address xxxx.xxxx.xxxx
ip access-group port1 in
!
ip access-list standard port1
permit 1.2.3.4

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Привязка IP MAC"  +/
Сообщение от kuralesovo (??) on 29-Июн-06, 09:35 
>>Здравствуйте!
>>
>>В сети есть пара умников которые постоянно меняют себе ip адреса
>>имеется каталист 3560....возможно ли на нем жестко привязать ip к mac
>>
>>команду arp "ip" "mac" arpa пробовал........результат нулевой......
>>подскажите как настроить, куда копать
>>
>>спасибо
>
>port-security + ACL.
>
>!
>int fa0/1
>switchport access vlan x
>switchport mode access
>switchport port-security
>switchport port-security violation protect
>switchport port-security mac-address xxxx.xxxx.xxxx
>ip access-group port1 in
>!
>ip access-list standard port1
>permit 1.2.3.4


у меня получилось вот так.........

включил ip dhcp snooping


interface GigabitEthernet0/1
switchport access vlan 5
switchport mode access
ip verify source port-security

затем:

ip source binding 0002.3F21.05DB vlan 5 192.168.45.10 interface Gi0/1
ip source binding 0000.E289.C674 vlan 5 192.168.45.5 interface Gi0/1

если на одной из машин меняешь ip то пакеты перестают бегать
но теперь на данном порту необходио прописывать все машины
при включении на данный порт не прописанной машины пакеты тоже не бегают
этого никак не избежать?
может есть еще какие варианты?
всем спасибо

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Привязка IP MAC"  +/
Сообщение от vgray email(ok) on 29-Июн-06, 09:56 
>включил ip dhcp snooping

>interface GigabitEthernet0/1
> switchport access vlan 5
> switchport mode access
> ip verify source port-security
>
>затем:
>
>ip source binding 0002.3F21.05DB vlan 5 192.168.45.10 interface Gi0/1
>ip source binding 0000.E289.C674 vlan 5 192.168.45.5 interface Gi0/1
>
>если на одной из машин меняешь ip то пакеты перестают бегать
>но теперь на данном порту необходио прописывать все машины
>при включении на данный порт не прописанной машины пакеты тоже не бегают
>
>этого никак не избежать?
>может есть еще какие варианты?

мы тоже используем  ip source guard, только прописывать все машины, и еще у машины не может быть двух ip адресов.

PS: Если версия прошивки меньше чем SED то там возможна ситуация когда source guard не работает

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Привязка IP MAC"  +/
Сообщение от kuralesovo (??) on 29-Июн-06, 10:04 
>>включил ip dhcp snooping
>
>>interface GigabitEthernet0/1
>> switchport access vlan 5
>> switchport mode access
>> ip verify source port-security
>>
>>затем:
>>
>>ip source binding 0002.3F21.05DB vlan 5 192.168.45.10 interface Gi0/1
>>ip source binding 0000.E289.C674 vlan 5 192.168.45.5 interface Gi0/1
>>
>>если на одной из машин меняешь ip то пакеты перестают бегать
>>но теперь на данном порту необходио прописывать все машины
>>при включении на данный порт не прописанной машины пакеты тоже не бегают
>>
>>этого никак не избежать?
>>может есть еще какие варианты?
>
>мы тоже используем  ip source guard, только прописывать все машины, и
>еще у машины не может быть двух ip адресов.
>
>PS: Если версия прошивки меньше чем SED то там возможна ситуация когда
>source guard не работает

и еще вопрос (пока потестировать нет возможности )

проверка соответствия действует на вилане или на порту?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Привязка IP MAC"  +/
Сообщение от vgray email(ok) on 29-Июн-06, 10:20 
>и еще вопрос (пока потестировать нет возможности )
>проверка соответствия действует на вилане или на порту?

там проверяется vlan+port+ip+mac если что-то одно не совпадает, то мас адрес клиента не попадает в CAM таблицу и соответсвенно ничего не работает.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Привязка IP MAC"  +/
Сообщение от kuralesovo (??) on 29-Июн-06, 10:27 
>>и еще вопрос (пока потестировать нет возможности )
>>проверка соответствия действует на вилане или на порту?
>
>там проверяется vlan+port+ip+mac если что-то одно не совпадает, то мас адрес клиента
>не попадает в CAM таблицу и соответсвенно ничего не работает.

к примеру
у меня 10 портов состоят в одном вилане
я хочу на 2-ух портах проверять соответствие mac и ip, а на оставшихся 8-ми ничего не проверять
это будет работать?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Привязка IP MAC"  +/
Сообщение от vgray email(ok) on 29-Июн-06, 11:59 
>к примеру
>у меня 10 портов состоят в одном вилане
>я хочу на 2-ух портах проверять соответствие mac и ip, а на
>оставшихся 8-ми ничего не проверять
>это будет работать?

не проверял, но на 90 % уверен что да, так как ip source guard включается на физическом интерфейсе

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Привязка IP MAC"  +/
Сообщение от Николай email(??) on 19-Апр-09, 20:59 
>>к примеру
>>у меня 10 портов состоят в одном вилане
>>я хочу на 2-ух портах проверять соответствие mac и ip, а на
>>оставшихся 8-ми ничего не проверять
>>это будет работать?
>
>не проверял, но на 90 % уверен что да, так как ip
>source guard включается на физическом интерфейсе

А возможно его включить только на отдельных влан? А то микрорайон зацеплен в транке с телефонией, управляющими вланами и пр., и всё отваливается, а надо бы только влан поддержки PPTP

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Привязка IP MAC"  –1 +/
Сообщение от Илья (??) on 04-Дек-09, 06:36 
подскажите кто юзал, настроил на 2960 с иосом 12.2.50 ip verify source port-security на абон-х портах, все работает, трафик лочит от ПК, но ничего не логирует... в дебаге видно что лочит именно эта фича, а в логах ничего
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Привязка IP MAC"  –1 +/
Сообщение от Илья email(??) on 04-Дек-09, 06:36 
подскажите кто юзал, настроил на 2960 с иосом 12.2.50 ip verify source port-security на абон-х портах, все работает, трафик лочит от ПК, но ничего не логирует... в дебаге видно что лочит именно эта фича, а в логах ничего
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Привязка IP MAC"  +/
Сообщение от Илья (??) on 04-Дек-09, 06:44 
подскажите кто юзал, настроил на 2960 с иосом 12.2.50 ip verify source port-security на абон-х портах, все работает, трафик лочит от ПК, но ничего не логирует... в дебаге видно что лочит именно эта фича, а в логах ничего
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Привязка IP MAC"  +/
Сообщение от Александр email(??) on 04-Дек-09, 07:49 
>подскажите кто юзал, настроил на 2960 с иосом 12.2.50 ip verify source
>port-security на абон-х портах, все работает, трафик лочит от ПК, но
>ничего не логирует... в дебаге видно что лочит именно эта фича,
>а в логах ничего

покажите конфиг что вы настроили

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Привязка IP MAC"  +/
Сообщение от Александр email(??) on 04-Дек-09, 07:49 
>>подскажите кто юзал, настроил на 2960 с иосом 12.2.50 ip verify source
>>port-security на абон-х портах, все работает, трафик лочит от ПК, но
>>ничего не логирует... в дебаге видно что лочит именно эта фича,
>>а в логах ничего
>
>покажите конфиг что вы настроили

p.s. не нужно дублировать одинаковые сообщения по пять раз, с одного раза все понимают.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Привязка IP MAC"  +/
Сообщение от Илья (??) on 04-Дек-09, 08:25 
sorry за повторы, инет в этот момент глкюанул и так получилось, жаль убрать нельзя.
//////////////
switchport access vlan 2
switchport mode access
switchport nonegotiate
switchport port-security
switchport port-security violation restrict
switchport port-security mac-address sticky
no snmp trap link-status
down-when-looped
no cdp enable
spanning-tree portfast
spanning-tree bpdufilter enable
spanning-tree bpduguard enable
ip verify source port-security

логгирование везде "level debugging"

sh run | i snoop

ip dhcp snooping vlan 2
no ip dhcp snooping information option
ip dhcp snooping
/////////////

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Привязка IP MAC"  +/
Сообщение от Илья (??) on 04-Дек-09, 08:27 
и еще
#sh ip verify source
Interface  Filter-type  Filter-mode  IP-address       Mac-address        Vlan
---------  -----------  -----------  ---------------  -----------------  ----
Fa0/1      ip           active       192.168.0.3                         2  
пробовал делать на порту ip verify source port-security

тоже самое

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру