Братцы, Хелп!
Надо сделать такую конфигурацию.
Разрешать работать в сети конторы хостам, чьи маки известны и лежат в некой БД. Это БД или ДХЦП сервера или некая отдельная БД, куда будет обращаться ДХЦП. Чьего мака нет в БД тому работать никак нельзя.
Имеется куча каталистов и ДХЦП-сервер.

Можно dhcp snooping на каталистах заставить делать то что мне надо?
Или таки с фрирадиус морочиться?

• DHCP + Catalyst пускать только известные маки,seva, 14:34 , 30-Мрт-12
• DHCP + Catalyst пускать только известные маки,eek, 15:16 , 30-Мрт-12
• DHCP + Catalyst пускать только известные маки,Pve1, 15:17 , 30-Мрт-12
  • DHCP + Catalyst пускать только известные маки,maxxic, 15:28 , 30-Мрт-12
    • DHCP + Catalyst пускать только известные маки,Pve1, 15:57 , 30-Мрт-12
      • DHCP + Catalyst пускать только известные маки,maxxic, 22:23 , 30-Мрт-12
        • DHCP + Catalyst пускать только известные маки,fantom, 12:28 , 31-Мрт-12
          • DHCP + Catalyst пускать только известные маки,maxxic, 13:44 , 03-Апр-12
            • DHCP + Catalyst пускать только известные маки,fantom, 14:43 , 03-Апр-12
              • DHCP + Catalyst пускать только известные маки,maxxic, 16:40 , 03-Апр-12
        • DHCP + Catalyst пускать только известные маки,Valery12, 09:13 , 02-Апр-12
          • DHCP + Catalyst пускать только известные маки,eek, 11:00 , 05-Апр-12
            • DHCP + Catalyst пускать только известные маки,Valery12, 10:40 , 06-Апр-12

> Братцы, Хелп!
> Надо сделать такую конфигурацию.
> Разрешать работать в сети конторы хостам, чьи маки известны и лежат в
> некой БД. Это БД или ДХЦП сервера или некая отдельная БД,
> куда будет обращаться ДХЦП. Чьего мака нет в БД тому работать
> никак нельзя.
> Имеется куча каталистов и ДХЦП-сервер.
> Можно dhcp snooping на каталистах заставить делать то что мне надо?
> Или таки с фрирадиус морочиться?

802.1x

Куча каталистов это сколько? Если куча это 10, то есть не масштабируемое пионерское решение в виде mac-acl.

Если же куча это сотня и решение нужно не пионерское, а более-менее стандартное, то как уже написал коллега выше 802.1x ваш выбор.

> Братцы, Хелп!
> Надо сделать такую конфигурацию.
> Разрешать работать в сети конторы хостам, чьи маки известны и лежат в
> некой БД. Это БД или ДХЦП сервера или некая отдельная БД,
> куда будет обращаться ДХЦП. Чьего мака нет в БД тому работать
> никак нельзя.
> Имеется куча каталистов и ДХЦП-сервер.
> Можно dhcp snooping на каталистах заставить делать то что мне надо?
> Или таки с фрирадиус морочиться?

Настроить на свичах: DHCP snooping + IP source guard + ARP dynamic inspection (последнее опционально). Это позволяет работать только с IP адресами, выданными только DHCP сервером.

Затем на DHCP сервере создать резервации по нужным мак-адресам. Свободный пул адресов убрать.

В результате все управление сведется к созданию резерваций - максимально удобный вариант.

Тупой mac acl - решение уж очень колхозное.

dot1x - хорошее решение для авторизации - но не по мак адресам)

Кучка = 3000 хостов на двухсот площадках, читай почти 200 каталистов и почти 300 подсетей.

> IP source guard

Хм... А этот зачем?

> В результате все управление сведется к созданию резерваций - максимально удобный вариант.

Да. Клева! Спасибо.
Но фишка в том что хосты иногда будут перемещаться из одной подсети в другую. И удобнее было бы иметь БД с маками, которым можно работать, а ДХЦП выдал бы им ип из соответствующего пула.
видимо отчего-то придется отказать...

dot1x замороченный какойто и клиентскую часть небось придется переделывать? а это не хотелось бы.

> Кучка = 3000 хостов на двухсот площадках, читай почти 200 каталистов и
> почти 300 подсетей.

Городить такое в подобной сети - Мисье знает толк в извращениях ))))
Без комментариев в общем...

>> IP source guard
> Хм... А этот зачем?

IP DHCP snooping - ведет базу полученных адресов по DHCP и фильтрует левые DHCP запросы/ответы
IP source guard - создает динамические IP ACL по этой базе
IP arp inspection - по этой же базе проверяет arp общение и дропает соответсвующие атаки

> dot1x замороченный какой то и клиентскую часть небось придется переделывать? а это не
> хотелось бы.

В вариант без сертификатов - не такой уж и замороченный.

Да уж извращение %) требования безопасности сейчас релизовано с помощью port security.
Но я устал каждую замену раб.станции сопровождать руками, а еще они (замены) имеют лавинный характер. Нужна автоматизация процесса.

> IP DHCP snooping + IP source guard + IP arp inspection

Да, Красивое решение, ничего не скажешь! Спасибо.

Но, блин, IP source guard не поддерживается 2950 и 2960 lanlite, а у меня их половина. Остальное 2960 "нормальные" и 3550. :(

Остается IEEE 802.1X или еще есть варианты? Аля собрать свой ДХЦП со скриптами захода на киски?

> Да уж извращение %) требования безопасности сейчас релизовано с помощью port security.
> Но я устал каждую замену раб.станции сопровождать руками, а еще они (замены)
> имеют лавинный характер. Нужна автоматизация процесса.
>> IP DHCP snooping + IP source guard + IP arp inspection
> Да, Красивое решение, ничего не скажешь! Спасибо.
> Но, блин, IP source guard не поддерживается 2950 и 2960 lanlite, а
> у меня их половина. Остальное 2960 "нормальные" и 3550. :(
> Остается IEEE 802.1X или еще есть варианты? Аля собрать свой ДХЦП со
> скриптами захода на киски?

Опция 82 и привязка не к МАС-у а порту железки и пусть меняют мас-и сколько влезет...

> Опция 82 и привязка не к МАС-у а порту железки и пусть
> меняют мас-и сколько влезет...

т.е. привязка ип-адреса делается к порту?
Если есть в ДХЦП-сервере правило описывающее этот порт, то комп работает, а нет правила, то не работает?
Правильно я Вашу мысль понял?
И не нужно резервирование мак ип, будет резервирование порт-ип - клёво!
Сколько всего нового-то узнаешь %)

НО нужна аля защиться от возможного "вторжения" инсайдера - ноут принесенный из дома не должен работать! как быть? Я так понимаю, никак.

>> Опция 82 и привязка не к МАС-у а порту железки и пусть
>> меняют мас-и сколько влезет...
> т.е. привязка ип-адреса делается к порту?
> Если есть в ДХЦП-сервере правило описывающее этот порт, то комп работает, а
> нет правила, то не работает?
> Правильно я Вашу мысль понял?
> И не нужно резервирование мак ип, будет резервирование порт-ип - клёво!
> Сколько всего нового-то узнаешь %)
> НО нужна аля защиться от возможного "вторжения" инсайдера - ноут принесенный из
> дома не должен работать! как быть? Я так понимаю, никак.

Вообще никак!
MAC меняется 2-мя кликами мышки,
802.1x- юзеру известны авторизационные данные.

Кроме как собирать ноуты при входе - больше никак.

> Вообще никак!
> MAC меняется 2-мя кликами мышки,

В постановке задачи считаем что юзвери этого делать неумеют/небудутмамойклянуться :)

> Остается IEEE 802.1X или еще есть варианты? Аля собрать свой ДХЦП со
> скриптами захода на киски?

еще один вариант забыли - VLAN Management Policy Server (VMPS)- мак адрес, отсутствующий в базе в рабочий вилан не попадет

>> Остается IEEE 802.1X или еще есть варианты? Аля собрать свой ДХЦП со
>> скриптами захода на киски?
> еще один вариант забыли - VLAN Management Policy Server (VMPS)- мак адрес,
> отсутствующий в базе в рабочий вилан не попадет

Т.е. то что производитель эту технологию похоронил никого не смущает?

> Т.е. то что производитель эту технологию похоронил никого не смущает?

то что ее похоронил производитель еще не значит что она не работает и нею нельзя воспользоваться, и 2950 и 2960 и более старшие модели могут работать в режиме клиента, а для сервера и шеститонник не нужен ибо есть OpenVMPS http://vmps.sourceforge.net/