Здравствуйте!В сети есть пара умников которые постоянно меняют себе ip адреса
имеется каталист 3560....возможно ли на нем жестко привязать ip к macкоманду arp "ip" "mac" arpa пробовал........результат нулевой......
подскажите как настроить, куда копатьспасибо
>Здравствуйте!
>
>В сети есть пара умников которые постоянно меняют себе ip адреса
>имеется каталист 3560....возможно ли на нем жестко привязать ip к mac
>
>команду arp "ip" "mac" arpa пробовал........результат нулевой......
>подскажите как настроить, куда копать
>
>спасибо
поищите на cisco.com на предмет configuring port-securityесли мне не изменяет память должно быть что то типа:
interface FastEthernet0/2
switchport mode access
switchport port-security
switchport port-security mac-address <mac-address>
точно не помню
>>Здравствуйте!
>>
>>В сети есть пара умников которые постоянно меняют себе ip адреса
>>имеется каталист 3560....возможно ли на нем жестко привязать ip к mac
>>
>>команду arp "ip" "mac" arpa пробовал........результат нулевой......
>>подскажите как настроить, куда копать
>>
>>спасибо
>
>
>поищите на cisco.com на предмет configuring port-security
>
>если мне не изменяет память должно быть что то типа:
>interface FastEthernet0/2
> switchport mode access
> switchport port-security
> switchport port-security mac-address <mac-address>
> точно не помню
интересует именно привязка ip-mac, а не привязка mac к порту
>>>Здравствуйте!
>>>
>>>В сети есть пара умников которые постоянно меняют себе ip адреса
>>>имеется каталист 3560....возможно ли на нем жестко привязать ip к mac
>>>
>>>команду arp "ip" "mac" arpa пробовал........результат нулевой......
>>>подскажите как настроить, куда копать
>>>
>>>спасибо
>>
>>
>>поищите на cisco.com на предмет configuring port-security
>>
>>если мне не изменяет память должно быть что то типа:
>>interface FastEthernet0/2
>> switchport mode access
>> switchport port-security
>> switchport port-security mac-address <mac-address>
>> точно не помню
>
>
>интересует именно привязка ip-mac, а не привязка mac к порту
Сорри, невнимательно прочел
тогда может вот это поможет
http://www.cisco.com/en/US/products/hw/switches/ps5528/produ...
>Здравствуйте!
>
>В сети есть пара умников которые постоянно меняют себе ip адреса
>имеется каталист 3560....возможно ли на нем жестко привязать ip к mac
>
>команду arp "ip" "mac" arpa пробовал........результат нулевой......
>подскажите как настроить, куда копать
>
>спасибоport-security + ACL.
!
int fa0/1
switchport access vlan x
switchport mode access
switchport port-security
switchport port-security violation protect
switchport port-security mac-address xxxx.xxxx.xxxx
ip access-group port1 in
!
ip access-list standard port1
permit 1.2.3.4
>>Здравствуйте!
>>
>>В сети есть пара умников которые постоянно меняют себе ip адреса
>>имеется каталист 3560....возможно ли на нем жестко привязать ip к mac
>>
>>команду arp "ip" "mac" arpa пробовал........результат нулевой......
>>подскажите как настроить, куда копать
>>
>>спасибо
>
>port-security + ACL.
>
>!
>int fa0/1
>switchport access vlan x
>switchport mode access
>switchport port-security
>switchport port-security violation protect
>switchport port-security mac-address xxxx.xxxx.xxxx
>ip access-group port1 in
>!
>ip access-list standard port1
>permit 1.2.3.4
у меня получилось вот так.........включил ip dhcp snooping
interface GigabitEthernet0/1
switchport access vlan 5
switchport mode access
ip verify source port-securityзатем:
ip source binding 0002.3F21.05DB vlan 5 192.168.45.10 interface Gi0/1
ip source binding 0000.E289.C674 vlan 5 192.168.45.5 interface Gi0/1если на одной из машин меняешь ip то пакеты перестают бегать
но теперь на данном порту необходио прописывать все машины
при включении на данный порт не прописанной машины пакеты тоже не бегают
этого никак не избежать?
может есть еще какие варианты?
всем спасибо
>включил ip dhcp snooping>interface GigabitEthernet0/1
> switchport access vlan 5
> switchport mode access
> ip verify source port-security
>
>затем:
>
>ip source binding 0002.3F21.05DB vlan 5 192.168.45.10 interface Gi0/1
>ip source binding 0000.E289.C674 vlan 5 192.168.45.5 interface Gi0/1
>
>если на одной из машин меняешь ip то пакеты перестают бегать
>но теперь на данном порту необходио прописывать все машины
>при включении на данный порт не прописанной машины пакеты тоже не бегают
>
>этого никак не избежать?
>может есть еще какие варианты?мы тоже используем ip source guard, только прописывать все машины, и еще у машины не может быть двух ip адресов.
PS: Если версия прошивки меньше чем SED то там возможна ситуация когда source guard не работает
>>включил ip dhcp snooping
>
>>interface GigabitEthernet0/1
>> switchport access vlan 5
>> switchport mode access
>> ip verify source port-security
>>
>>затем:
>>
>>ip source binding 0002.3F21.05DB vlan 5 192.168.45.10 interface Gi0/1
>>ip source binding 0000.E289.C674 vlan 5 192.168.45.5 interface Gi0/1
>>
>>если на одной из машин меняешь ip то пакеты перестают бегать
>>но теперь на данном порту необходио прописывать все машины
>>при включении на данный порт не прописанной машины пакеты тоже не бегают
>>
>>этого никак не избежать?
>>может есть еще какие варианты?
>
>мы тоже используем ip source guard, только прописывать все машины, и
>еще у машины не может быть двух ip адресов.
>
>PS: Если версия прошивки меньше чем SED то там возможна ситуация когда
>source guard не работаети еще вопрос (пока потестировать нет возможности )
проверка соответствия действует на вилане или на порту?
>и еще вопрос (пока потестировать нет возможности )
>проверка соответствия действует на вилане или на порту?там проверяется vlan+port+ip+mac если что-то одно не совпадает, то мас адрес клиента не попадает в CAM таблицу и соответсвенно ничего не работает.
>>и еще вопрос (пока потестировать нет возможности )
>>проверка соответствия действует на вилане или на порту?
>
>там проверяется vlan+port+ip+mac если что-то одно не совпадает, то мас адрес клиента
>не попадает в CAM таблицу и соответсвенно ничего не работает.к примеру
у меня 10 портов состоят в одном вилане
я хочу на 2-ух портах проверять соответствие mac и ip, а на оставшихся 8-ми ничего не проверять
это будет работать?
>к примеру
>у меня 10 портов состоят в одном вилане
>я хочу на 2-ух портах проверять соответствие mac и ip, а на
>оставшихся 8-ми ничего не проверять
>это будет работать?не проверял, но на 90 % уверен что да, так как ip source guard включается на физическом интерфейсе
>>к примеру
>>у меня 10 портов состоят в одном вилане
>>я хочу на 2-ух портах проверять соответствие mac и ip, а на
>>оставшихся 8-ми ничего не проверять
>>это будет работать?
>
>не проверял, но на 90 % уверен что да, так как ip
>source guard включается на физическом интерфейсеА возможно его включить только на отдельных влан? А то микрорайон зацеплен в транке с телефонией, управляющими вланами и пр., и всё отваливается, а надо бы только влан поддержки PPTP
подскажите кто юзал, настроил на 2960 с иосом 12.2.50 ip verify source port-security на абон-х портах, все работает, трафик лочит от ПК, но ничего не логирует... в дебаге видно что лочит именно эта фича, а в логах ничего
подскажите кто юзал, настроил на 2960 с иосом 12.2.50 ip verify source port-security на абон-х портах, все работает, трафик лочит от ПК, но ничего не логирует... в дебаге видно что лочит именно эта фича, а в логах ничего
подскажите кто юзал, настроил на 2960 с иосом 12.2.50 ip verify source port-security на абон-х портах, все работает, трафик лочит от ПК, но ничего не логирует... в дебаге видно что лочит именно эта фича, а в логах ничего
>подскажите кто юзал, настроил на 2960 с иосом 12.2.50 ip verify source
>port-security на абон-х портах, все работает, трафик лочит от ПК, но
>ничего не логирует... в дебаге видно что лочит именно эта фича,
>а в логах ничегопокажите конфиг что вы настроили
>>подскажите кто юзал, настроил на 2960 с иосом 12.2.50 ip verify source
>>port-security на абон-х портах, все работает, трафик лочит от ПК, но
>>ничего не логирует... в дебаге видно что лочит именно эта фича,
>>а в логах ничего
>
>покажите конфиг что вы настроилиp.s. не нужно дублировать одинаковые сообщения по пять раз, с одного раза все понимают.
sorry за повторы, инет в этот момент глкюанул и так получилось, жаль убрать нельзя.
//////////////
switchport access vlan 2
switchport mode access
switchport nonegotiate
switchport port-security
switchport port-security violation restrict
switchport port-security mac-address sticky
no snmp trap link-status
down-when-looped
no cdp enable
spanning-tree portfast
spanning-tree bpdufilter enable
spanning-tree bpduguard enable
ip verify source port-securityлоггирование везде "level debugging"
sh run | i snoop
ip dhcp snooping vlan 2
no ip dhcp snooping information option
ip dhcp snooping
/////////////
и еще
#sh ip verify source
Interface Filter-type Filter-mode IP-address Mac-address Vlan
--------- ----------- ----------- --------------- ----------------- ----
Fa0/1 ip active 192.168.0.3 2
пробовал делать на порту ip verify source port-securityтоже самое