Как легко и просто это делалось в iptables...iptables -A FORWARD -p tcp -s 1.2.3.4 -m mac --mac-source 00:11:22:33:44:55 -j ACCEPT
Подскажите, пожалуйста, возможно ли в Cisco IOS 12.1(26)E6 (ENTERPRISE W/VIP SSH 3DES) организовать аналогичную проверку?
Мне нужно, чтобы через маршрутизатор проходили пакеты только при условии совпадения IP и MAC. Если IP и MAC не совпадают - пакеты проходить не должны.
Я перерыл кучу документации - ничего похожего не нашел.
Железо указано в загловке темы: Catalyst 6509, Supervisor 2U (PFC2/MSFC2)
>Как легко и просто это делалось в iptables...
>
>iptables -A FORWARD -p tcp -s 1.2.3.4 -m mac --mac-source 00:11:22:33:44:55 -j
>ACCEPT
>
>Подскажите, пожалуйста, возможно ли в Cisco IOS 12.1(26)E6 (ENTERPRISE W/VIP SSH 3DES)
>организовать аналогичную проверку?
>
>Мне нужно, чтобы через маршрутизатор проходили пакеты только при условии совпадения IP
>и MAC. Если IP и MAC не совпадают - пакеты проходить
>не должны.
>
>Я перерыл кучу документации - ничего похожего не нашел.
>
>Железо указано в загловке темы: Catalyst 6509, Supervisor 2U (PFC2/MSFC2)IP Source Guard?
>>Как легко и просто это делалось в iptables...
>>
>>iptables -A FORWARD -p tcp -s 1.2.3.4 -m mac --mac-source 00:11:22:33:44:55 -j
>>ACCEPT
>>
>>Подскажите, пожалуйста, возможно ли в Cisco IOS 12.1(26)E6 (ENTERPRISE W/VIP SSH 3DES)
>>организовать аналогичную проверку?
>>
>>Мне нужно, чтобы через маршрутизатор проходили пакеты только при условии совпадения IP
>>и MAC. Если IP и MAC не совпадают - пакеты проходить
>>не должны.
>>
>>Я перерыл кучу документации - ничего похожего не нашел.
>>
>>Железо указано в загловке темы: Catalyst 6509, Supervisor 2U (PFC2/MSFC2)
>
>IP Source Guard?IP Source Guard (смотрел через Feature Navigator) доступно для CAT6000-SUP2 только в Hybrid mode (т.е. только для CatOS). У нас Циска в Native mode (один IOS на sup и на msfc).
Смотрел я и в сторону Dynamic ARP Inspection - эта функция доступна только для sup32 или sup720. У нас же sup2.
Неужели на нашем железе совсем ничего нельзя сделать? Ведь как-то же люди жили до выпуска sup32 и sup720...
>>>Как легко и просто это делалось в iptables...
>>>
>>>iptables -A FORWARD -p tcp -s 1.2.3.4 -m mac --mac-source 00:11:22:33:44:55 -j
>>>ACCEPT
>>>
>>>Подскажите, пожалуйста, возможно ли в Cisco IOS 12.1(26)E6 (ENTERPRISE W/VIP SSH 3DES)
>>>организовать аналогичную проверку?
>>>
>>>Мне нужно, чтобы через маршрутизатор проходили пакеты только при условии совпадения IP
>>>и MAC. Если IP и MAC не совпадают - пакеты проходить
>>>не должны.
>>>
>>>Я перерыл кучу документации - ничего похожего не нашел.
>>>
>>>Железо указано в загловке темы: Catalyst 6509, Supervisor 2U (PFC2/MSFC2)
>>
>>IP Source Guard?
>
>IP Source Guard (смотрел через Feature Navigator) доступно для CAT6000-SUP2 только в
>Hybrid mode (т.е. только для CatOS). У нас Циска в Native
>mode (один IOS на sup и на msfc).
>
>Смотрел я и в сторону Dynamic ARP Inspection - эта функция доступна
>только для sup32 или sup720. У нас же sup2.
>
>Неужели на нашем железе совсем ничего нельзя сделать? Ведь как-то же люди
>жили до выпуска sup32 и sup720...А почему тогда вам не сделать такую вещь как поставить ДХЦП сервер, там указать резервацию ИП по Маку, а на 65 включить ip arp inspection vlan (что не даст использовать статику) и ip dhcp snooping vlan, а в самой конгфигурации влана указать хелперы на ДХЦП. Это тоже одно из решений данной проблемы.
>>Смотрел я и в сторону Dynamic ARP Inspection - эта функция доступна
>>только для sup32 или sup720. У нас же sup2.
>>
>>Неужели на нашем железе совсем ничего нельзя сделать? Ведь как-то же люди
>>жили до выпуска sup32 и sup720...
>
>А почему тогда вам не сделать такую вещь как поставить ДХЦП сервер,
>там указать резервацию ИП по Маку, а на 65 включить
>ip arp inspection vlan (что не даст использовать статику)У нас железо не подходит - для этого нужен sup32 или sup720.