forum.opennet.ru - "ip source guard for static host на Catalyst 4500" (9)

форумы

помощь

поиск

регистрация

вход/выход

слежка

"ip source guard for static host на Catalyst 4500"

Форум Маршрутизаторы CISCO и др. оборудование. (Cisco Catalyst коммутаторы)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"ip source guard for static host на Catalyst 4500"	+/–
Сообщение от dom (ok) on 22-Янв-10, 16:38
Добрый вечер, уважаемые! Возникла необходимость привязки ip+mac+port и первое что в голову пришло ip source guard for static host (все хосты со статическими ip). Но по ходу настройки выянилось что данная фича не поддерживается супервизором. Может кто знает какое-либо альтернативное решение (без использования dhcp)??? супервизор - WS-X45-SUP6-E иос - cat4500e-IPBASE-M 12.2(44)SG1
Ответить \| Правка \| Cообщить модератору

Оглавление

ip source guard for static host на Catalyst 4500, none, 17:25 , 22-Янв-10, (1)

ip source guard for static host на Catalyst 4500, dom, 17:30 , 22-Янв-10, (2)

ip source guard for static host на Catalyst 4500, none, 17:47 , 22-Янв-10, (3)

ip source guard for static host на Catalyst 4500, dom, 17:59 , 22-Янв-10, (4)

ip source guard for static host на Catalyst 4500, none, 19:00 , 22-Янв-10, (5)

ip source guard for static host на Catalyst 4500, spunky, 08:31 , 23-Янв-10, (6)

ip source guard for static host на Catalyst 4500, none, 13:02 , 23-Янв-10, (7)

ip source guard for static host на Catalyst 4500, uragan, 11:03 , 26-Сен-16, (8)

ip source guard for static host на Catalyst 4500, dom, 09:11 , 27-Сен-16, (9)

Сообщения по теме [Сортировка по времени | RSS]

1. "ip source guard for static host на Catalyst 4500" +/–

Сообщение от none (??) on 22-Янв-10, 17:25

как вариант сделать catalyst L3 рутером, порты сделать L3 unnumbered с соотвествующими /32 роутами для host-ов, маки привязать
или помутить с кучей ACL

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "ip source guard for static host на Catalyst 4500" +/–

Сообщение от dom (ok) on 22-Янв-10, 17:30

>как вариант сделать catalyst L3 рутером, порты сделать L3 unnumbered с соотвествующими
>/32 роутами для host-ов, маки привязать
>или помутить с кучей ACL
вариант - маки к портам и повесить ACL на эти же порты, рассматривался...
но как то не очень красиво выглядит)))

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "ip source guard for static host на Catalyst 4500" +/–

Сообщение от none (??) on 22-Янв-10, 17:47

>но как то не очень красиво выглядит)))
dhcp snooping было бы красиво :)

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "ip source guard for static host на Catalyst 4500" +/–

Сообщение от dom (ok) on 22-Янв-10, 17:59

>>но как то не очень красиво выглядит)))
>
>dhcp snooping было бы красиво :)
вопрос по dhcp snooping: читал про него, но так и не понял - наличие dhcp обязательно???
По ходу чтения мануала складывалась впечатление что эту же функцию можно использовать и для статических хостов. Разъясните, пожалуйста, есть ли такая возможность или я неправильно понимаю???

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "ip source guard for static host на Catalyst 4500" +/–

Сообщение от none (??) on 22-Янв-10, 19:00

>>>но как то не очень красиво выглядит)))
>>
>>dhcp snooping было бы красиво :)
>
>вопрос по dhcp snooping: читал про него, но так и не понял
>- наличие dhcp обязательно???
>По ходу чтения мануала складывалась впечатление что эту же функцию можно использовать
>и для статических хостов. Разъясните, пожалуйста, есть ли такая возможность или
>я неправильно понимаю???
не пробовал, но можно попробовать добавить ip dhcp snooping binding, а затем включить ip source guard - вероятно будет тот же эффект что и у ip source binding

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "ip source guard for static host на Catalyst 4500" +/–

Сообщение от spunky (ok) on 23-Янв-10, 08:31

>>но как то не очень красиво выглядит)))
>
>dhcp snooping было бы красиво :)
да, красиво, но не защитит ли это только от выборки всех адресов с DHCP-сервера и вообще аномального поведения порта в плане DHCP-запросов? Не-dhcp трафик при наличии dhcp-snooping не фильтруется и не контролируется.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "ip source guard for static host на Catalyst 4500" +/–

Сообщение от none (??) on 23-Янв-10, 13:02

>да, красиво, но не защитит ли это только от выборки всех адресов
>с DHCP-сервера и вообще аномального поведения порта в плане DHCP-запросов?
дак его надо, совместно с ip source guard использовать, красиво - так как руками прописывать ничего не надо

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "ip source guard for static host на Catalyst 4500" +/–

Сообщение от uragan on 26-Сен-16, 11:03

. Но по
> ходу настройки выянилось что данная фича не поддерживается супервизором.
> супервизор - WS-X45-SUP6-E
> иос - cat4500e-IPBASE-M 12.2(44)SG1
Поддерживается:
Включить:
To enable IPSG with static hosts on a port, enter the following commands:
Switch(config)# ip device tracking ****enable IP device tracking globally
Switch(config)# ip device tracking max <n> ***set an IP device tracking maximum on int
Switch(config-if)# ip verify source tracking [port-security] ****activate IPSG on port
Выключить:
To stop IPSG with static hosts on an interface, use the following commands in interface configuration submode:
Switch(config-if)# no ip verify source
Switch(config-if)# no ip device tracking max
Источник: http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst45...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "ip source guard for static host на Catalyst 4500" +/–

Сообщение от dom (??) on 27-Сен-16, 09:11

>[оверквотинг удален]
> Switch(config)# ip device tracking ****enable IP device tracking globally
> Switch(config)# ip device tracking max <n> ***set an IP device tracking maximum
> on int
> Switch(config-if)# ip verify source tracking [port-security] ****activate IPSG on port
> Выключить:
> To stop IPSG with static hosts on an interface, use the following
> commands in interface configuration submode:
> Switch(config-if)# no ip verify source
> Switch(config-if)# no ip device tracking max
> Источник: http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst45...
ip dhcp snooping vlan 2222
ip dhcp snooping
interface GigabitEthernet9/10
switchport access vlan 2222
switchport mode access
switchport nonegotiate
switchport port-security
switchport port-security violation restrict
ip verify source vlan dhcp-snooping port-security
ip source binding <MAC> vlan 2222 <IP> interface Gi9/10

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ip source guard for static host на Catalyst 4500"	+/–
Сообщение от none (??) on 22-Янв-10, 17:25
как вариант сделать catalyst L3 рутером, порты сделать L3 unnumbered с соотвествующими /32 роутами для host-ов, маки привязать или помутить с кучей ACL
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "ip source guard for static host на Catalyst 4500"	+/–
	Сообщение от dom (ok) on 22-Янв-10, 17:30
	>как вариант сделать catalyst L3 рутером, порты сделать L3 unnumbered с соотвествующими >/32 роутами для host-ов, маки привязать >или помутить с кучей ACL вариант - маки к портам и повесить ACL на эти же порты, рассматривался... но как то не очень красиво выглядит)))
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "ip source guard for static host на Catalyst 4500"	+/–
	Сообщение от none (??) on 22-Янв-10, 17:47
	>но как то не очень красиво выглядит))) dhcp snooping было бы красиво :)
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "ip source guard for static host на Catalyst 4500"	+/–
	Сообщение от dom (ok) on 22-Янв-10, 17:59
	>>но как то не очень красиво выглядит))) > >dhcp snooping было бы красиво :) вопрос по dhcp snooping: читал про него, но так и не понял - наличие dhcp обязательно??? По ходу чтения мануала складывалась впечатление что эту же функцию можно использовать и для статических хостов. Разъясните, пожалуйста, есть ли такая возможность или я неправильно понимаю???
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "ip source guard for static host на Catalyst 4500"	+/–
	Сообщение от none (??) on 22-Янв-10, 19:00
	>>>но как то не очень красиво выглядит))) >> >>dhcp snooping было бы красиво :) > >вопрос по dhcp snooping: читал про него, но так и не понял >- наличие dhcp обязательно??? >По ходу чтения мануала складывалась впечатление что эту же функцию можно использовать >и для статических хостов. Разъясните, пожалуйста, есть ли такая возможность или >я неправильно понимаю??? не пробовал, но можно попробовать добавить ip dhcp snooping binding, а затем включить ip source guard - вероятно будет тот же эффект что и у ip source binding
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "ip source guard for static host на Catalyst 4500"	+/–
	Сообщение от spunky (ok) on 23-Янв-10, 08:31
	>>но как то не очень красиво выглядит))) > >dhcp snooping было бы красиво :) да, красиво, но не защитит ли это только от выборки всех адресов с DHCP-сервера и вообще аномального поведения порта в плане DHCP-запросов? Не-dhcp трафик при наличии dhcp-snooping не фильтруется и не контролируется.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	7. "ip source guard for static host на Catalyst 4500"	+/–
	Сообщение от none (??) on 23-Янв-10, 13:02
	>да, красиво, но не защитит ли это только от выборки всех адресов >с DHCP-сервера и вообще аномального поведения порта в плане DHCP-запросов? дак его надо, совместно с ip source guard использовать, красиво - так как руками прописывать ничего не надо
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору

8. "ip source guard for static host на Catalyst 4500"	+/–
Сообщение от uragan on 26-Сен-16, 11:03
. Но по > ходу настройки выянилось что данная фича не поддерживается супервизором. > супервизор - WS-X45-SUP6-E > иос - cat4500e-IPBASE-M 12.2(44)SG1 Поддерживается: Включить: To enable IPSG with static hosts on a port, enter the following commands: Switch(config)# ip device tracking **enable IP device tracking globally Switch(config)# ip device tracking max <n> set an IP device tracking maximum on int Switch(config-if)# ip verify source tracking [port-security] ***activate IPSG on port Выключить: To stop IPSG with static hosts on an interface, use the following commands in interface configuration submode: Switch(config-if)# no ip verify source Switch(config-if)# no ip device tracking max Источник: http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst45...
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	9. "ip source guard for static host на Catalyst 4500"	+/–
	Сообщение от dom (??) on 27-Сен-16, 09:11
	>[оверквотинг удален] > Switch(config)# ip device tracking **enable IP device tracking globally > Switch(config)# ip device tracking max <n> set an IP device tracking maximum > on int > Switch(config-if)# ip verify source tracking [port-security] ***activate IPSG on port > Выключить: > To stop IPSG with static hosts on an interface, use the following > commands in interface configuration submode: > Switch(config-if)# no ip verify source > Switch(config-if)# no ip device tracking max > Источник: http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst45... ip dhcp snooping vlan 2222 ip dhcp snooping interface GigabitEthernet9/10 switchport access vlan 2222 switchport mode access switchport nonegotiate switchport port-security switchport port-security violation restrict ip verify source vlan dhcp-snooping port-security ip source binding <MAC> vlan 2222 <IP> interface Gi9/10
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору