URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 12970
[ Назад ]

Исходное сообщение
"2950 IP blocked"
Отправлено kir22 , 05-Мрт-07 12:49

имеется cisco 2950, включенна функция dot1x с авторизацией на фрирадиусе, Необходимый влан выставляется, айпи по дхцп назначается, но есть проблема пользователь сам может сменить себе айпи на любой другой... как с этим боротся? если аналагичная фукция как в длинке IP-mac-BINDING?

Содержание

2950 IP blocked,Nailer, 09:05 , 06-Мрт-07
2950 IP blocked,vorch, 12:32 , 06-Мрт-07
- 2950 IP blocked,Ranger99, 14:22 , 06-Мрт-07
  - 2950 IP blocked,kir22, 06:48 , 13-Мрт-07

Сообщения в этом обсуждении

"2950 IP blocked"
Отправлено Nailer , 06-Мрт-07 09:05

>имеется cisco 2950, включенна функция dot1x с авторизацией на фрирадиусе, Необходимый влан
>выставляется, айпи по дхцп назначается, но есть проблема пользователь сам может
>сменить себе айпи на любой другой... как с этим боротся? если
>аналагичная фукция как в длинке IP-mac-BINDING?
Попробуйте отдавать с радиуса acl на порт, в котором описывать нужный IP.

"2950 IP blocked"
Отправлено vorch , 06-Мрт-07 12:32

В 2950 такого функционала нет. Он есть в 2960 - там настравается специальная таблица, где прописывается в какой порт отдавался какой ip по dhcp, и соответственно только пакеты с таким ip ходят через этот порт. Если ваш 2950 поддерживает ACL на физических интерфесах, то используйте ACL. Оптимальный вариант - отдавать ACL через RADIUS, но я не помню, есть ли такой атрибут. В самом худшем случае придется вручную прописывать ACL на каждом порту (или попытаться это дело автоматизировать через rsh). Если ваша 2950 не поддерживает ACL - то вообще никак вы это не порешаете.

"2950 IP blocked"
Отправлено Ranger99 , 06-Мрт-07 14:22

> В 2950 такого функционала нет.
Port-Based ACL есть в Enhanced Image для 2950, просто не все свитчи поддерживают. Вот выдержка из доки Cisco 2950 Configuration Guide 12.1(22)EA2:
Switches - Supported Image
Catalyst 2950-12 SI
Catalyst 2950-24 SI
Catalyst 2950C-24 EI
Catalyst 2950G-12-EI  EI
Catalyst 2950G-24-EI  EI
Catalyst 2950G-24-EI-DC EI
Catalyst 2950G-48-EI  EI
Catalyst 2950ST-8 LRE EI
Catalyst 2950ST-24 LRE EI
Catalyst 2950ST-24 LRE 997 EI
Catalyst 2950SX-24 SI
Catalyst 2950SX-48-SI SI
Catalyst 2950T-24 EI
Catalyst 2950T-48-SI SI
Catalyst 2955C-12 EI
Catalyst 2955S-12 EI
Catalyst 2955T-12 EI
У меня все 2950-ые это 2950-24, поэтому для защиты от IP Spoofingа пришлось брать 2960. Было бы интересно услышать от кого-нибудь с более продвинутым 2950-ым как он дружит с EI.

"2950 IP blocked"
Отправлено kir22 , 13-Мрт-07 06:48

>> В 2950 такого функционала нет.
>
>Port-Based ACL есть в Enhanced Image для 2950, просто не все свитчи
>поддерживают. Вот выдержка из доки Cisco 2950 Configuration Guide 12.1(22)EA2:
>Switches - Supported Image
>Catalyst 2950-12 SI
>Catalyst 2950-24 SI
>Catalyst 2950C-24 EI
>Catalyst 2950G-12-EI  EI
>Catalyst 2950G-24-EI  EI
>Catalyst 2950G-24-EI-DC EI
>Catalyst 2950G-48-EI  EI
>Catalyst 2950ST-8 LRE EI
>Catalyst 2950ST-24 LRE EI
>Catalyst 2950ST-24 LRE 997 EI
>Catalyst 2950SX-24 SI
>Catalyst 2950SX-48-SI SI
>Catalyst 2950T-24 EI
>Catalyst 2950T-48-SI SI
>Catalyst 2955C-12 EI
>Catalyst 2955S-12 EI
>Catalyst 2955T-12 EI
>
>У меня все 2950-ые это 2950-24, поэтому для защиты от IP Spoofingа
>пришлось брать 2960. Было бы интересно услышать от кого-нибудь с более
>продвинутым 2950-ым как он дружит с EI.
Решилось включением порт-секюрити на один адресс АРП, и статичной привязкой Айпи к маку на Маршрутизаторе.