URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 13363
[ Назад ]

Исходное сообщение
"6509-sup2/msfc2: проверка IP+MAC - как?"

Отправлено IVB , 18-Апр-07 12:18 
Как легко и просто это делалось в iptables...

iptables -A FORWARD -p tcp -s 1.2.3.4 -m mac --mac-source 00:11:22:33:44:55 -j ACCEPT

Подскажите, пожалуйста, возможно ли в Cisco IOS 12.1(26)E6 (ENTERPRISE W/VIP SSH 3DES) организовать аналогичную проверку?

Мне нужно, чтобы через маршрутизатор проходили пакеты только при условии совпадения IP и MAC. Если IP и MAC не совпадают - пакеты проходить не должны.

Я перерыл кучу документации - ничего похожего не нашел.

Железо указано в загловке темы: Catalyst 6509, Supervisor 2U (PFC2/MSFC2)


Содержание

Сообщения в этом обсуждении
"6509-sup2/msfc2: проверка IP+MAC - как?"
Отправлено Nailer , 18-Апр-07 13:52 
>Как легко и просто это делалось в iptables...
>
>iptables -A FORWARD -p tcp -s 1.2.3.4 -m mac --mac-source 00:11:22:33:44:55 -j
>ACCEPT
>
>Подскажите, пожалуйста, возможно ли в Cisco IOS 12.1(26)E6 (ENTERPRISE W/VIP SSH 3DES)
>организовать аналогичную проверку?
>
>Мне нужно, чтобы через маршрутизатор проходили пакеты только при условии совпадения IP
>и MAC. Если IP и MAC не совпадают - пакеты проходить
>не должны.
>
>Я перерыл кучу документации - ничего похожего не нашел.
>
>Железо указано в загловке темы: Catalyst 6509, Supervisor 2U (PFC2/MSFC2)

IP Source Guard?


"6509-sup2/msfc2: проверка IP+MAC - как?"
Отправлено IVB , 23-Апр-07 11:16 
>>Как легко и просто это делалось в iptables...
>>
>>iptables -A FORWARD -p tcp -s 1.2.3.4 -m mac --mac-source 00:11:22:33:44:55 -j
>>ACCEPT
>>
>>Подскажите, пожалуйста, возможно ли в Cisco IOS 12.1(26)E6 (ENTERPRISE W/VIP SSH 3DES)
>>организовать аналогичную проверку?
>>
>>Мне нужно, чтобы через маршрутизатор проходили пакеты только при условии совпадения IP
>>и MAC. Если IP и MAC не совпадают - пакеты проходить
>>не должны.
>>
>>Я перерыл кучу документации - ничего похожего не нашел.
>>
>>Железо указано в загловке темы: Catalyst 6509, Supervisor 2U (PFC2/MSFC2)
>
>IP Source Guard?

IP Source Guard (смотрел через Feature Navigator) доступно для CAT6000-SUP2 только в Hybrid mode (т.е. только для CatOS). У нас Циска в Native mode (один IOS на sup и на msfc).

Смотрел я и в сторону Dynamic ARP Inspection - эта функция доступна только для sup32 или sup720. У нас же sup2.

Неужели на нашем железе совсем ничего нельзя сделать? Ведь как-то же люди жили до выпуска sup32 и sup720...


"6509-sup2/msfc2: проверка IP+MAC - как?"
Отправлено Владимир , 24-Май-07 08:41 
>>>Как легко и просто это делалось в iptables...
>>>
>>>iptables -A FORWARD -p tcp -s 1.2.3.4 -m mac --mac-source 00:11:22:33:44:55 -j
>>>ACCEPT
>>>
>>>Подскажите, пожалуйста, возможно ли в Cisco IOS 12.1(26)E6 (ENTERPRISE W/VIP SSH 3DES)
>>>организовать аналогичную проверку?
>>>
>>>Мне нужно, чтобы через маршрутизатор проходили пакеты только при условии совпадения IP
>>>и MAC. Если IP и MAC не совпадают - пакеты проходить
>>>не должны.
>>>
>>>Я перерыл кучу документации - ничего похожего не нашел.
>>>
>>>Железо указано в загловке темы: Catalyst 6509, Supervisor 2U (PFC2/MSFC2)
>>
>>IP Source Guard?
>
>IP Source Guard (смотрел через Feature Navigator) доступно для CAT6000-SUP2 только в
>Hybrid mode (т.е. только для CatOS). У нас Циска в Native
>mode (один IOS на sup и на msfc).
>
>Смотрел я и в сторону Dynamic ARP Inspection - эта функция доступна
>только для sup32 или sup720. У нас же sup2.
>
>Неужели на нашем железе совсем ничего нельзя сделать? Ведь как-то же люди
>жили до выпуска sup32 и sup720...

А почему тогда вам не сделать такую вещь как поставить ДХЦП сервер, там указать резервацию  ИП по Маку, а на 65 включить ip arp inspection vlan (что не даст использовать статику) и ip dhcp snooping vlan, а в самой конгфигурации влана указать хелперы на ДХЦП. Это тоже одно из решений данной  проблемы.


"6509-sup2/msfc2: проверка IP+MAC - как?"
Отправлено Igor , 24-Май-07 12:38 
>>Смотрел я и в сторону Dynamic ARP Inspection - эта функция доступна
>>только для sup32 или sup720. У нас же sup2.
>>
>>Неужели на нашем железе совсем ничего нельзя сделать? Ведь как-то же люди
>>жили до выпуска sup32 и sup720...
>
>А почему тогда вам не сделать такую вещь как поставить ДХЦП сервер,
>там указать резервацию  ИП по Маку, а на 65 включить
>ip arp inspection vlan (что не даст использовать статику)

У нас железо не подходит - для этого нужен sup32 или sup720.