URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 4326
[ Назад ]

Исходное сообщение
"Однозначная привязка MAC к IP"
Отправлено Денис , 28-Ноя-03 10:37

Есть Router 2621 к которому на Eth 0/1 подключен Catalyst 2950 SI IOS only. К порту каталиста подключен клиент у которого должен быть только определённый IP.
Если бы каталист был с EI IOS задача решилась бы просто создание ACL на порту, но в SI такое не возможно :(
Подскажите, пожалуйста, выход.
Спасибо

Содержание

Однозначная привязка MAC к IP,divig, 10:41 , 28-Ноя-03
- Однозначная привязка MAC к IP,Денис, 10:48 , 28-Ноя-03
  - Однозначная привязка MAC к IP,Денис, 10:55 , 28-Ноя-03
    - Однозначная привязка MAC к IP,Volume, 11:18 , 28-Ноя-03
      - Однозначная привязка MAC к IP,A Clockwork Orange, 11:55 , 28-Ноя-03
      - Однозначная привязка MAC к IP,Денис, 12:12 , 28-Ноя-03
        
        Однозначная привязка MAC к IP,A Clockwork Orange, 12:50 , 28-Ноя-03
      - Однозначная привязка MAC к IP,Sonne, 16:25 , 01-Дек-03
Однозначная привязка MAC к IP,Wowa, 11:12 , 28-Ноя-03
- Однозначная привязка MAC к IP,Денис, 11:18 , 28-Ноя-03
  - Однозначная привязка MAC к IP,Volume, 13:27 , 28-Ноя-03
    - Однозначная привязка MAC к IP,Денис, 13:44 , 28-Ноя-03
      - Однозначная привязка MAC к IP,Volume, 14:26 , 28-Ноя-03
        
        Однозначная привязка MAC к IP,Денис, 16:13 , 28-Ноя-03
        
        Однозначная привязка MAC к IP,Volume, 16:31 , 28-Ноя-03
        
        Однозначная привязка MAC к IP,Денис, 16:58 , 28-Ноя-03
        
        Однозначная привязка MAC к IP,Volume, 17:03 , 28-Ноя-03
        
        Однозначная привязка MAC к IP,Денис, 17:10 , 28-Ноя-03
        
        Однозначная привязка MAC к IP,Денис, 17:21 , 28-Ноя-03
        
        Однозначная привязка MAC к IP,Volume, 22:39 , 28-Ноя-03
        
        Однозначная привязка MAC к IP,White_Eagle, 11:29 , 01-Дек-03
        
        Однозначная привязка MAC к IP,White_Eagle, 11:44 , 01-Дек-03

Сообщения в этом обсуждении

"Однозначная привязка MAC к IP"
Отправлено divig , 28-Ноя-03 10:41

Создан Vlan, дай пул с маской 252, разрули через машрутизатор.

"Однозначная привязка MAC к IP"
Отправлено Денис , 28-Ноя-03 10:48

>Создан Vlan, дай пул с маской 252, разрули через машрутизатор.

Я извиняюсь за тупость, но можно пример

"Однозначная привязка MAC к IP"
Отправлено Денис , 28-Ноя-03 10:55

>>Создан Vlan, дай пул с маской 252, разрули через машрутизатор.
>
>
>Я извиняюсь за тупость, но можно пример

В таком варианте придется терять 4 IP адреса на одного клиента - не очень хорошо.
А возможно загнать порт на каталисте во VLAN, на роутере поднять подинтерфейс для этой VLAN и наложить на него ACL?

"Однозначная привязка MAC к IP"
Отправлено Volume , 28-Ноя-03 11:18

>>>Создан Vlan, дай пул с маской 252, разрули через машрутизатор.
>>
>>
>>Я извиняюсь за тупость, но можно пример
>
>
>В таком варианте придется терять 4 IP адреса на одного клиента -
>не очень хорошо.
>А возможно загнать порт на каталисте во VLAN, на роутере поднять подинтерфейс
>для этой VLAN и наложить на него ACL?
ну прям задания с лабы..
попробуйте
port-security + статическая запись в арп

"Однозначная привязка MAC к IP"
Отправлено A Clockwork Orange , 28-Ноя-03 11:55

статическая запись arp поиск по каким ключевым словам на cisco.com?

"Однозначная привязка MAC к IP"
Отправлено Денис , 28-Ноя-03 12:12

>>>>Создан Vlan, дай пул с маской 252, разрули через машрутизатор.
>>>
>>>
>>>Я извиняюсь за тупость, но можно пример
>>
>>
>>В таком варианте придется терять 4 IP адреса на одного клиента -
>>не очень хорошо.
>>А возможно загнать порт на каталисте во VLAN, на роутере поднять подинтерфейс
>>для этой VLAN и наложить на него ACL?
>
>ну прям задания с лабы..
>
>попробуйте
>port-security + статическая запись в арп
port-security не позволит всего лишь менять MAC на порту
Статическая запись в ARP (как я понимаю на роутере) не позволит никому использовать указанный IP кроме указанного мака
А мне нужно, чтобы на порту был определённый IP
По описанной выше схеме при смене IP в арп появится ещё одна динамическая запись и всё будет ОК работать

"Однозначная привязка MAC к IP"
Отправлено A Clockwork Orange , 28-Ноя-03 12:50

Статическая arp запись не позволит MAC поставить в соответствие другой IP

"Однозначная привязка MAC к IP"
Отправлено Sonne , 01-Дек-03 16:25

>>>>Создан Vlan, дай пул с маской 252, разрули через машрутизатор.
>>>
>>>
>>>Я извиняюсь за тупость, но можно пример
>>
>>
>>В таком варианте придется терять 4 IP адреса на одного клиента -
>>не очень хорошо.
>>А возможно загнать порт на каталисте во VLAN, на роутере поднять подинтерфейс
>>для этой VLAN и наложить на него ACL?
>
>ну прям задания с лабы..
>
>попробуйте
>port-security + статическая запись в арп

А что на лабе много таких тривиальных вещей? :)
А как вам идея использовать p2p сетки с маской .254 или unnumbered p2p ethernet link + proxy ARP?
первое точно работает, экономит 50% адресов, второе - мои измышлизмы которые случайно могут оказаться работоспособными :)

"Однозначная привязка MAC к IP"
Отправлено Wowa , 28-Ноя-03 11:12

>Есть Router 2621 к которому на Eth 0/1 подключен Catalyst 2950 SI
>IOS only. К порту каталиста подключен клиент у которого должен быть
>только определённый IP.
>Если бы каталист был с EI IOS задача решилась бы просто создание
>ACL на порту, но в SI такое не возможно :(
>Подскажите, пожалуйста, выход.
>Спасибо
На каталисте port security, на роутере статическая arp таблица
Но с вланами, имхо, правильней.

"Однозначная привязка MAC к IP"
Отправлено Денис , 28-Ноя-03 11:18

>>Есть Router 2621 к которому на Eth 0/1 подключен Catalyst 2950 SI
>>IOS only. К порту каталиста подключен клиент у которого должен быть
>>только определённый IP.
>>Если бы каталист был с EI IOS задача решилась бы просто создание
>>ACL на порту, но в SI такое не возможно :(
>>Подскажите, пожалуйста, выход.
>>Спасибо
>
>На каталисте port security, на роутере статическая arp таблица
>Но с вланами, имхо, правильней.
В сети есть DHCP.
Если прописать статическую ARP придется убрать DHCP.
С вланами сейчас пробую, но возмоно ли создать подинтерфейс на роутере для данной влан без ип, а далее отфильтровать с помощью ACL.

"Однозначная привязка MAC к IP"
Отправлено Volume , 28-Ноя-03 13:27

>В сети есть DHCP.
>Если прописать статическую ARP придется убрать DHCP.
>С вланами сейчас пробую, но возмоно ли создать подинтерфейс на роутере для
>данной влан без ип, а далее отфильтровать с помощью ACL.
серьезно? дхцп уже разучились резервировать ип для мака?
статическая запись не даст привязать такой мак к другому ип

"Однозначная привязка MAC к IP"
Отправлено Денис , 28-Ноя-03 13:44

>
>>В сети есть DHCP.
>>Если прописать статическую ARP придется убрать DHCP.
>>С вланами сейчас пробую, но возмоно ли создать подинтерфейс на роутере для
>>данной влан без ип, а далее отфильтровать с помощью ACL.
>
>серьезно? дхцп уже разучились резервировать ип для мака?
>
>статическая запись не даст привязать такой мак к другому ип
Даст конечно, но тогда зачем он вообще будет нужен.
Проблема в том, что это тупиковый вариант.
Нужно будет прописать все ип по маки на дхцп и в арпе, иначе любой не прописанный может быть получен.

"Однозначная привязка MAC к IP"
Отправлено Volume , 28-Ноя-03 14:26

либо вы не рассказали задание и ситуацию полностью, либо я не понял

"Однозначная привязка MAC к IP"
Отправлено Денис , 28-Ноя-03 16:13

>либо вы не рассказали задание и ситуацию полностью, либо я не понял
>
В сети класа С часть адресов назначены статически, остальная часть раздается дхцп.
Пользователь со статическим адресом подключен на порт каталиста 2950 с SI IOS only. Каталист подключен к роутеру 2621.
Хотелось бы запретить пользователю изменять ип.
Спасибо.

"Однозначная привязка MAC к IP"
Отправлено Volume , 28-Ноя-03 16:31

тогда еще раз, чем не подходит мой способ? много исключать из дхцп? или что?

"Однозначная привязка MAC к IP"
Отправлено Денис , 28-Ноя-03 16:58

>тогда еще раз, чем не подходит мой способ? много исключать из дхцп?
>или что?
У нужного пользователя как раз статический адрес.
Я хочу ему запретить менять адрес на другой статический или динамический.
Привязаться можно только к порту свича.
На мой взгляд с SI IOS это можно только через вланы.
Спасибо

"Однозначная привязка MAC к IP"
Отправлено Volume , 28-Ноя-03 17:03

>>тогда еще раз, чем не подходит мой способ? много исключать из дхцп?
>>или что?
>
>У нужного пользователя как раз статический адрес.
>Я хочу ему запретить менять адрес на другой статический или динамический.
>Привязаться можно только к порту свича.
>На мой взгляд с SI IOS это можно только через вланы.
>
>Спасибо
нет, не только. вы либо не понимаете, что я предлагаю, либо не можете объяснить, почему не поджойдет этот способ
я не навязываю, мне просто интересно

"Однозначная привязка MAC к IP"
Отправлено Денис , 28-Ноя-03 17:10

>>>тогда еще раз, чем не подходит мой способ? много исключать из дхцп?
>>>или что?
>>
>>У нужного пользователя как раз статический адрес.
>>Я хочу ему запретить менять адрес на другой статический или динамический.
>>Привязаться можно только к порту свича.
>>На мой взгляд с SI IOS это можно только через вланы.
>>
>>Спасибо
>
>нет, не только. вы либо не понимаете, что я предлагаю, либо не
>можете объяснить, почему не поджойдет этот способ
>
>я не навязываю, мне просто интересно
Я понимаю что Вы предлагаете:
1) port security чтобы он не мог изменить MAC
2) добавить в арп статическую запись для нужного мака
3) на дхцп прописать для него нужный ип
если я всё понял правильно
От дхцп он получит нужный адрес, но кто ему мешает прописать себе ип из диапазона статических адресов?

"Однозначная привязка MAC к IP"
Отправлено Денис , 28-Ноя-03 17:21

>>>>тогда еще раз, чем не подходит мой способ? много исключать из дхцп?
>>>>или что?
>>>
>>>У нужного пользователя как раз статический адрес.
>>>Я хочу ему запретить менять адрес на другой статический или динамический.
>>>Привязаться можно только к порту свича.
>>>На мой взгляд с SI IOS это можно только через вланы.
>>>
>>>Спасибо
>>
>>нет, не только. вы либо не понимаете, что я предлагаю, либо не
>>можете объяснить, почему не поджойдет этот способ
>>
>>я не навязываю, мне просто интересно
>
>Я понимаю что Вы предлагаете:
>1) port security чтобы он не мог изменить MAC
>2) добавить в арп статическую запись для нужного мака
>3) на дхцп прописать для него нужный ип
>
>если я всё понял правильно
>
>От дхцп он получит нужный адрес, но кто ему мешает прописать себе
>ип из диапазона статических адресов?

Я ещё раз всё прочитал и остановился на фразе:
статическая запись не даст привязать такой мак к другому ип
если имеется в виду запись на роутере
ARP xxx.xxx.xxx xxxx.xxxx.xxxx.xxxx ARPA ALIAS
то могу четко сказать:
пользователь с прописанным в статической записи маком спокойно работает с другим адресом

"Однозначная привязка MAC к IP"
Отправлено Volume , 28-Ноя-03 22:39

>Я ещё раз всё прочитал и остановился на фразе:
>
>статическая запись не даст привязать такой мак к другому ип
>
>если имеется в виду запись на роутере
>
>ARP xxx.xxx.xxx xxxx.xxxx.xxxx.xxxx ARPA ALIAS
>
>то могу четко сказать:
>пользователь с прописанным в статической записи маком спокойно работает с другим адресом
>
конечно, хоть 10 алиасов ему нарисуйте, но в моем предложении нет слова алиас.
  switchport mode access
  switchport port-security
  switchport port-security maximum 1
  switchport port-security violation protect
  switchport port-security mac-address 0010.4bb0.acdc (AC-DC heavy metal) :))
  no arp arpa
!
arp 192.168.1.230 0010.4bb0.acdc ARPA fastEthernet 0/12

"Однозначная привязка MAC к IP"
Отправлено White_Eagle , 01-Дек-03 11:29

Господа, а что делать, если 12-й порт находится например в 10-ом vlan-е?
Запись:
>arp 192.168.1.230 0010.4bb0.acdc ARPA fastEthernet 0/12
проходит, но ничего не работает :(
а запись arp 192.168.1.230 0010.4bb0.acdc ARPA Vlan 10
дает ошибку: Bad ARP command - Interface may only be specified when bridging IP
Как здесь быть?

"Однозначная привязка MAC к IP"
Отправлено White_Eagle , 01-Дек-03 11:44

Сорри люди за простой вопрос :))
Сам уже нашел ответ :)
на int vlan 10 делаем no arp arpa и прописываем arp 192.168.1.230 0010.4bb0.acdc ARPA
после чего все работает ок :)