Здравствуйте!

В сети есть пара умников которые постоянно меняют себе ip адреса
имеется каталист 3560....возможно ли на нем жестко привязать ip к mac

команду arp "ip" "mac" arpa пробовал........результат нулевой......
подскажите как настроить, куда копать

спасибо

• Привязка IP MAC,Eduard_k, 15:38 , 28-Июн-06
  • Привязка IP MAC,kuralesovo, 17:06 , 28-Июн-06
    • Привязка IP MAC,Eduard_k, 22:32 , 28-Июн-06
• Привязка IP MAC,littlevik, 06:45 , 29-Июн-06
  • Привязка IP MAC,kuralesovo, 09:35 , 29-Июн-06
    • Привязка IP MAC,vgray, 09:56 , 29-Июн-06
      • Привязка IP MAC,kuralesovo, 10:04 , 29-Июн-06
        • Привязка IP MAC,vgray, 10:20 , 29-Июн-06
          • Привязка IP MAC,kuralesovo, 10:27 , 29-Июн-06
            • Привязка IP MAC,vgray, 11:59 , 29-Июн-06
              • Привязка IP MAC,Николай, 20:59 , 19-Апр-09
                • Привязка IP MAC,Илья, 06:36 , 04-Дек-09
                • Привязка IP MAC,Илья, 06:36 , 04-Дек-09
                • Привязка IP MAC,Илья, 06:44 , 04-Дек-09
                  • Привязка IP MAC,Александр, 07:49 , 04-Дек-09
                    • Привязка IP MAC,Александр, 07:49 , 04-Дек-09
                      • Привязка IP MAC,Илья, 08:25 , 04-Дек-09
                        • Привязка IP MAC,Илья, 08:27 , 04-Дек-09

>Здравствуйте!
>
>В сети есть пара умников которые постоянно меняют себе ip адреса
>имеется каталист 3560....возможно ли на нем жестко привязать ip к mac
>
>команду arp "ip" "mac" arpa пробовал........результат нулевой......
>подскажите как настроить, куда копать
>
>спасибо

поищите на cisco.com на предмет configuring port-security

если мне не изменяет память должно быть что то типа:
interface FastEthernet0/2
switchport mode access
switchport port-security
switchport port-security mac-address <mac-address>
точно не помню

>>Здравствуйте!
>>
>>В сети есть пара умников которые постоянно меняют себе ip адреса
>>имеется каталист 3560....возможно ли на нем жестко привязать ip к mac
>>
>>команду arp "ip" "mac" arpa пробовал........результат нулевой......
>>подскажите как настроить, куда копать
>>
>>спасибо
>
>
>поищите на cisco.com на предмет configuring port-security
>
>если мне не изменяет память должно быть что то типа:
>interface FastEthernet0/2
> switchport mode access
> switchport port-security
> switchport port-security mac-address <mac-address>
> точно не помню

интересует именно привязка ip-mac, а не привязка mac к порту

>>>Здравствуйте!
>>>
>>>В сети есть пара умников которые постоянно меняют себе ip адреса
>>>имеется каталист 3560....возможно ли на нем жестко привязать ip к mac
>>>
>>>команду arp "ip" "mac" arpa пробовал........результат нулевой......
>>>подскажите как настроить, куда копать
>>>
>>>спасибо
>>
>>
>>поищите на cisco.com на предмет configuring port-security
>>
>>если мне не изменяет память должно быть что то типа:
>>interface FastEthernet0/2
>> switchport mode access
>> switchport port-security
>> switchport port-security mac-address <mac-address>
>> точно не помню
>
>
>интересует именно привязка ip-mac, а не привязка mac к порту
Сорри, невнимательно прочел
тогда может вот это поможет
http://www.cisco.com/en/US/products/hw/switches/ps5528/produ...

>Здравствуйте!
>
>В сети есть пара умников которые постоянно меняют себе ip адреса
>имеется каталист 3560....возможно ли на нем жестко привязать ip к mac
>
>команду arp "ip" "mac" arpa пробовал........результат нулевой......
>подскажите как настроить, куда копать
>
>спасибо

port-security + ACL.

!
int fa0/1
switchport access vlan x
switchport mode access
switchport port-security
switchport port-security violation protect
switchport port-security mac-address xxxx.xxxx.xxxx
ip access-group port1 in
!
ip access-list standard port1
permit 1.2.3.4

>>Здравствуйте!
>>
>>В сети есть пара умников которые постоянно меняют себе ip адреса
>>имеется каталист 3560....возможно ли на нем жестко привязать ip к mac
>>
>>команду arp "ip" "mac" arpa пробовал........результат нулевой......
>>подскажите как настроить, куда копать
>>
>>спасибо
>
>port-security + ACL.
>
>!
>int fa0/1
>switchport access vlan x
>switchport mode access
>switchport port-security
>switchport port-security violation protect
>switchport port-security mac-address xxxx.xxxx.xxxx
>ip access-group port1 in
>!
>ip access-list standard port1
>permit 1.2.3.4

у меня получилось вот так.........

включил ip dhcp snooping

interface GigabitEthernet0/1
switchport access vlan 5
switchport mode access
ip verify source port-security

затем:

ip source binding 0002.3F21.05DB vlan 5 192.168.45.10 interface Gi0/1
ip source binding 0000.E289.C674 vlan 5 192.168.45.5 interface Gi0/1

если на одной из машин меняешь ip то пакеты перестают бегать
но теперь на данном порту необходио прописывать все машины
при включении на данный порт не прописанной машины пакеты тоже не бегают
этого никак не избежать?
может есть еще какие варианты?
всем спасибо

>включил ip dhcp snooping

>interface GigabitEthernet0/1
> switchport access vlan 5
> switchport mode access
> ip verify source port-security
>
>затем:
>
>ip source binding 0002.3F21.05DB vlan 5 192.168.45.10 interface Gi0/1
>ip source binding 0000.E289.C674 vlan 5 192.168.45.5 interface Gi0/1
>
>если на одной из машин меняешь ip то пакеты перестают бегать
>но теперь на данном порту необходио прописывать все машины
>при включении на данный порт не прописанной машины пакеты тоже не бегают
>
>этого никак не избежать?
>может есть еще какие варианты?

мы тоже используем  ip source guard, только прописывать все машины, и еще у машины не может быть двух ip адресов.

PS: Если версия прошивки меньше чем SED то там возможна ситуация когда source guard не работает

>>включил ip dhcp snooping
>
>>interface GigabitEthernet0/1
>> switchport access vlan 5
>> switchport mode access
>> ip verify source port-security
>>
>>затем:
>>
>>ip source binding 0002.3F21.05DB vlan 5 192.168.45.10 interface Gi0/1
>>ip source binding 0000.E289.C674 vlan 5 192.168.45.5 interface Gi0/1
>>
>>если на одной из машин меняешь ip то пакеты перестают бегать
>>но теперь на данном порту необходио прописывать все машины
>>при включении на данный порт не прописанной машины пакеты тоже не бегают
>>
>>этого никак не избежать?
>>может есть еще какие варианты?
>
>мы тоже используем  ip source guard, только прописывать все машины, и
>еще у машины не может быть двух ip адресов.
>
>PS: Если версия прошивки меньше чем SED то там возможна ситуация когда
>source guard не работает

и еще вопрос (пока потестировать нет возможности )

проверка соответствия действует на вилане или на порту?

>и еще вопрос (пока потестировать нет возможности )
>проверка соответствия действует на вилане или на порту?

там проверяется vlan+port+ip+mac если что-то одно не совпадает, то мас адрес клиента не попадает в CAM таблицу и соответсвенно ничего не работает.

>>и еще вопрос (пока потестировать нет возможности )
>>проверка соответствия действует на вилане или на порту?
>
>там проверяется vlan+port+ip+mac если что-то одно не совпадает, то мас адрес клиента
>не попадает в CAM таблицу и соответсвенно ничего не работает.

к примеру
у меня 10 портов состоят в одном вилане
я хочу на 2-ух портах проверять соответствие mac и ip, а на оставшихся 8-ми ничего не проверять
это будет работать?

>к примеру
>у меня 10 портов состоят в одном вилане
>я хочу на 2-ух портах проверять соответствие mac и ip, а на
>оставшихся 8-ми ничего не проверять
>это будет работать?

не проверял, но на 90 % уверен что да, так как ip source guard включается на физическом интерфейсе

>>к примеру
>>у меня 10 портов состоят в одном вилане
>>я хочу на 2-ух портах проверять соответствие mac и ip, а на
>>оставшихся 8-ми ничего не проверять
>>это будет работать?
>
>не проверял, но на 90 % уверен что да, так как ip
>source guard включается на физическом интерфейсе

А возможно его включить только на отдельных влан? А то микрорайон зацеплен в транке с телефонией, управляющими вланами и пр., и всё отваливается, а надо бы только влан поддержки PPTP

подскажите кто юзал, настроил на 2960 с иосом 12.2.50 ip verify source port-security на абон-х портах, все работает, трафик лочит от ПК, но ничего не логирует... в дебаге видно что лочит именно эта фича, а в логах ничего

подскажите кто юзал, настроил на 2960 с иосом 12.2.50 ip verify source port-security на абон-х портах, все работает, трафик лочит от ПК, но ничего не логирует... в дебаге видно что лочит именно эта фича, а в логах ничего

подскажите кто юзал, настроил на 2960 с иосом 12.2.50 ip verify source port-security на абон-х портах, все работает, трафик лочит от ПК, но ничего не логирует... в дебаге видно что лочит именно эта фича, а в логах ничего

>подскажите кто юзал, настроил на 2960 с иосом 12.2.50 ip verify source
>port-security на абон-х портах, все работает, трафик лочит от ПК, но
>ничего не логирует... в дебаге видно что лочит именно эта фича,
>а в логах ничего

покажите конфиг что вы настроили

>>подскажите кто юзал, настроил на 2960 с иосом 12.2.50 ip verify source
>>port-security на абон-х портах, все работает, трафик лочит от ПК, но
>>ничего не логирует... в дебаге видно что лочит именно эта фича,
>>а в логах ничего
>
>покажите конфиг что вы настроили

p.s. не нужно дублировать одинаковые сообщения по пять раз, с одного раза все понимают.

sorry за повторы, инет в этот момент глкюанул и так получилось, жаль убрать нельзя.
//////////////
switchport access vlan 2
switchport mode access
switchport nonegotiate
switchport port-security
switchport port-security violation restrict
switchport port-security mac-address sticky
no snmp trap link-status
down-when-looped
no cdp enable
spanning-tree portfast
spanning-tree bpdufilter enable
spanning-tree bpduguard enable
ip verify source port-security

логгирование везде "level debugging"

sh run | i snoop

ip dhcp snooping vlan 2
no ip dhcp snooping information option
ip dhcp snooping
/////////////

и еще
#sh ip verify source
Interface  Filter-type  Filter-mode  IP-address       Mac-address        Vlan
---------  -----------  -----------  ---------------  -----------------  ----
Fa0/1      ip           active       192.168.0.3                         2  
пробовал делать на порту ip verify source port-security

тоже самое