URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 16706
[ Назад ]

Исходное сообщение
"Привязка IP к MAC на Cisco 28xx"
Отправлено Владимир , 12-Июл-08 11:37

Доброго всем времени суток!
есть "серая" 192.168.х.х сеть на 70 пользователей. требовалось ограничить отдельным IP доступ к интернету-создал (не без помощи участников данного форума!) нужные списки доступа и жизнь наладилась. но ненадолго...
некоторые умельцы теперь используют неактивные чужие IP и с них ломятся и инет.
хочу привязать IP-адрес хоста к его MAC-адресу, благо такая информация имеется. продвинутых свичей в конторе нет, но есть Cisco 2821...
как в Cisco привязать IP-адрес, который впоследствии подвергается Nat к MAC-адресу сетевой карты?
заранее всем спасибо за ответы!

Содержание

Привязка IP к MAC на Cisco 28xx,CrAzOiD, 12:49 , 12-Июл-08
- Привязка IP к MAC на Cisco 28xx,Владимир, 13:03 , 12-Июл-08
  - Привязка IP к MAC на Cisco 28xx,enk, 19:25 , 14-Июл-08
    - Привязка IP к MAC на Cisco 28xx,Владимир, 19:21 , 15-Июл-08
  - Привязка IP к MAC на Cisco 28xx,harrytv, 19:29 , 14-Июл-08
    - Привязка IP к MAC на Cisco 28xx,qwek, 20:05 , 28-Июл-11
      - Привязка IP к MAC на Cisco 28xx,qwek, 11:59 , 29-Июл-11
        
        Привязка IP к MAC на Cisco 28xx,kiu, 18:09 , 29-Июл-11
        
        Привязка IP к MAC на Cisco 28xx,qwek, 03:21 , 30-Июл-11
        
        Привязка IP к MAC на Cisco 28xx,Гость, 10:58 , 30-Июл-11
        
        Привязка IP к MAC на Cisco 28xx,qwek, 15:45 , 30-Июл-11
        
        Привязка IP к MAC на Cisco 28xx,kiu, 13:37 , 02-Авг-11
        
        Привязка IP к MAC на Cisco 28xx,qwek, 02:42 , 25-Авг-11

Сообщения в этом обсуждении

"Привязка IP к MAC на Cisco 28xx"
Отправлено CrAzOiD , 12-Июл-08 12:49

>[оверквотинг удален]
>некоторые умельцы теперь используют неактивные чужие IP и с них ломятся и
>инет.
>
>хочу привязать IP-адрес хоста к его MAC-адресу, благо такая информация имеется. продвинутых
>свичей в конторе нет, но есть Cisco 2821...
>
>как в Cisco привязать IP-адрес, который впоследствии подвергается Nat к MAC-адресу сетевой
>карты?
>
>заранее всем спасибо за ответы!
может быть лучше посмотреть в сторону auth proxy (Authentification Proxy)?
http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5708/ps...
или можно рассмотреть вариант PPTP/PPPoE сервера и пользователю для того что бы попасть в инет необходимо будет поднять туннель и авторизоваться.
Смысл в том что "ловить" привязку IP-MAC не очень хорошее решение.
Куда как гибче иметь авторизацию каждого пользователя.

"Привязка IP к MAC на Cisco 28xx"
Отправлено Владимир , 12-Июл-08 13:03

руководство категорически против авторизации...
только поэтому я не могу использовать это решение, а оно, естественно, напрашивается...
поэтому и ищу другие варианты...

"Привязка IP к MAC на Cisco 28xx"
Отправлено enk , 14-Июл-08 19:25

>руководство категорически против авторизации...
>только поэтому я не могу использовать это решение, а оно, естественно, напрашивается...
>
>поэтому и ищу другие варианты...
router#conf t
router#arp <ip-addr> <mac-addr> arpa
Смотрим:
show arp

"Привязка IP к MAC на Cisco 28xx"
Отправлено Владимир , 15-Июл-08 19:21

СПАСИБО "enk"!!!
заработало.
понятно и доступно объяснил :)
тема закрыта.

"Привязка IP к MAC на Cisco 28xx"
Отправлено harrytv , 14-Июл-08 19:29

>руководство категорически против авторизации...
>только поэтому я не могу использовать это решение, а оно, естественно, напрашивается...
>
>поэтому и ищу другие варианты...
poligon.gw1(config)#arp 10.10.10.10 1111.1111.1111 arpa

"Привязка IP к MAC на Cisco 28xx"
Отправлено qwek , 28-Июл-11 20:05

Есть вопрос по теме. Осуществлена привязка с ошибкой, указан несуществующий ip адрес.
arp 140.0.0.50 1234.4567.8910 ARPA
вместо
arp 10.0.0.50 1234.4567.8910 ARPA
удалить командой
no arp 140.0.0.50
не получается. При попытке залить с tftp конфиг не содержащий данную запись ничего не выходит - запись остается все равно. Такой подсети 140.0.0.0/24 на интерфейсах cisco нет.
Как правильно удалить запись?
Спасибо!

"Привязка IP к MAC на Cisco 28xx"
Отправлено qwek , 29-Июл-11 11:59

>[оверквотинг удален]
> arp 140.0.0.50 1234.4567.8910 ARPA
> вместо
> arp 10.0.0.50 1234.4567.8910 ARPA
> удалить командой
> no arp 140.0.0.50
> не получается. При попытке залить с tftp конфиг не содержащий данную запись
> ничего не выходит - запись остается все равно. Такой подсети 140.0.0.0/24
> на интерфейсах cisco нет.
> Как правильно удалить запись?
> Спасибо!
Уже по традиции отвечаю сам себе:

copy running-config tftp
модифицируем под себя как угодно !без ошибок!
copy tftp startup-config
reload
System configuration has been modified. Save? [yes/no]: n
Proceed with reload? [confirm]
все, после ребута ошибочной записи не будет

"Привязка IP к MAC на Cisco 28xx"
Отправлено kiu , 29-Июл-11 18:09

То что при копировании с tftp в раннинг конфиги сливаюся нам известно. Копировать в стартап конфиг с последующей перезагрузкой, чтобы убрать строчку - маразм имхо.
Почему невозможно убрать строку из конфига с командой NO я не понял. Постоянно так маки вяжем и сносим (и не только ))).

"Привязка IP к MAC на Cisco 28xx"
Отправлено qwek , 30-Июл-11 03:21

> То что при копировании с tftp в раннинг конфиги сливаюся нам известно.
> Копировать в стартап конфиг с последующей перезагрузкой, чтобы убрать строчку -
> маразм имхо.
> Почему невозможно убрать строку из конфига с командой NO я не понял.
> Постоянно так маки вяжем и сносим (и не только ))).
Проверьте самостоятельно. Внесите запись ip+mac из подсети не объявленной на Cisco а затем попробуйте удалить эту запись не маразматическим способом. Я себе голову над этим ломал несколько часов. Иной способ так и не нашел. Да и нет его, я в этом уверен.

"Привязка IP к MAC на Cisco 28xx"
Отправлено Гость , 30-Июл-11 10:58

А зачем создавать запись подсети, в которую не входит ни один интерфейс на циске, смысла нету.

"Привязка IP к MAC на Cisco 28xx"
Отправлено qwek , 30-Июл-11 15:45

> А зачем создавать запись подсети, в которую не входит ни один интерфейс
> на циске, смысла нету.
Верно. Но если такое уже произошло, то исправить ситуацию можно только таким "маразматическим" способом. Манипуляции с no arp не помогут. А произойти такое может легко с каждым, к примеру второй сисадмин ввел с пьяну не те данные - палец соскочил с клавиатуры, изменилась топология сети, а привязки ip+mac не снесли в конфиге. Не важно как такое могло произойти, важнее что сделать, чтобы исправить. Я нашел как исправить. Надеюсь теперь моя запись кому то поможет.

"Привязка IP к MAC на Cisco 28xx"
Отправлено kiu , 02-Авг-11 13:37

>> То что при копировании с tftp в раннинг конфиги сливаюся нам известно.
>> Копировать в стартап конфиг с последующей перезагрузкой, чтобы убрать строчку -
>> маразм имхо.
>> Почему невозможно убрать строку из конфига с командой NO я не понял.
>> Постоянно так маки вяжем и сносим (и не только ))).
> Проверьте самостоятельно. Внесите запись ip+mac из подсети не объявленной на Cisco а
> затем попробуйте удалить эту запись не маразматическим способом. Я себе голову
> над этим ломал несколько часов. Иной способ так и не нашел.
> Да и нет его, я в этом уверен.
Сегодня как раз снимал привязку по мак-у. Попробовал специально прописать левый ip.
Убирается нормально.IOS аж 12.0(2a). Может ,конечно, все сломали на 12.4, специально не пробовал, но сомнительно. Если это действительно не работает - поменяйте ios.

"Привязка IP к MAC на Cisco 28xx"
Отправлено qwek , 25-Авг-11 02:42

> Сегодня как раз снимал привязку по мак-у. Попробовал специально прописать левый ip.
> Убирается нормально.IOS аж 12.0(2a). Может ,конечно, все сломали на 12.4, специально не
> пробовал, но сомнительно. Если это действительно не работает - поменяйте ios.
Version 12.1(23)E2
не получается убрать привязку если выходит за рамки сконфигурированных интерфейсов
Выход найден выше, уже спасал и не один раз.