URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 46
[ Назад ]
Исходное сообщение
"Запрет установки статических ip адресов."
Отправлено turpanov.a , 14-Авг-12 05:47 
Доброго времени суток!
Подскажите, если кто в курсе.
В сети адреса раздаются с помощью dhcp сервера, однако некоторые пользователи умудряются назначать себе статические адреса, вызывая тем самым конфликты адресов.
Компов достаточно много, поэтому писать acl на свитчах - не самое красивое решение, да и не самое удобное.
В качестве access свитчей у нас стоят hp procurve 2626.
Хотел применить функцию dynamic ip lockdown, которая на основании записей из dhcp-snooping bindings пропускает или не пропускает весь ip трафик. Настроил dhcp-snooping, подождал пару дней, пока заполнится таблица, включил lockdown на одном интерфейсе и начал тестировать. Включил в порт комп, дал ему адрес из нужной подсетки и результата никакого, трафик как ходил так и ходит.
Перечитал несколько раз документацию, все условия функционирования соблюдены. Уже не знаю в чем дело. Может быть это функция не корректно реализована в hewllet-packard'е?

Надо заметить, что все то же самое пытался реализовать на cisco (функция ip source guard) и все отрабатывалось как нужно. Весь трафик закрывается. А с HP не могу справиться.

Кто-нибудь может что-то подсказать?

Содержание
Сообщения в этом обсуждении
"Запрет установки статических ip адресов."
Отправлено crash , 14-Авг-12 07:05 
настроить в сети AD и запретить пользователям изменять сетевые настройки
"Запрет установки статических ip адресов."
Отправлено turpanov.a , 14-Авг-12 08:38 
> настроить в сети AD и запретить пользователям изменять сетевые настройки

это да, только еще есть принтеры, на которые особо не залогиниться под учетной записью.

"Запрет установки статических ip адресов."
Отправлено eek , 14-Авг-12 08:42 
>> настроить в сети AD и запретить
>> пользователям изменять сетевые настройки
> это да, только еще есть принтеры,
> на которые особо не залогиниться под
> учетной записью.

А адреса на сетевом оборудовании у вас тоже пользователи меняют?

"Запрет установки статических ip адресов."
Отправлено turpanov.a , 14-Авг-12 08:47 
>>> настроить в сети AD и запретить
>>> пользователям изменять сетевые настройки
>> это да, только еще есть принтеры,
>> на которые особо не залогиниться под
>> учетной записью.
> А адреса на сетевом оборудовании у вас тоже пользователи меняют?

нет конечно. Пользователи в своем vlan сидят.

"Запрет установки статических ip адресов."
Отправлено crash , 16-Авг-12 07:37 
>> настроить в сети AD и запретить пользователям изменять сетевые настройки
> это да, только еще есть принтеры, на которые особо не залогиниться под
> учетной записью.

принтеры вынести в отдельный vlan. На самом деле я не понял при чем тут принтеры.

"Запрет установки статических ip адресов."
Отправлено turpanov.a , 16-Авг-12 10:01 
>>> настроить в сети AD и запретить пользователям изменять сетевые настройки
>> это да, только еще есть принтеры, на которые особо не залогиниться под
>> учетной записью.
> принтеры вынести в отдельный vlan. На самом деле я не понял при
> чем тут принтеры.

Сетевые принтеры, на которых иногда сами пользователи зачем-то выставляют ручками адреса, которые уже выданы с помощью dhcp другим устройствам в сети. Начинаются конфликты.
Спасибо большое за ответы, но меня больше интересует именно возможность реализации функции dynamic ip lockdown на hp procurve. Т.е. работает она корректно у этого вендора или же нет?

"Запрет установки статических ip адресов."
Отправлено mrak , 22-Авг-12 13:43 
> В качестве access свитчей у нас стоят hp procurve 2626.
> Хотел применить функцию dynamic ip lockdown, которая на основании записей из dhcp-snooping
> Кто-нибудь может что-то подсказать?

show ip source-lockdown status
show ip source-lockdown bindings
debug dynamic-ip-lockdown


"Запрет установки статических ip адресов."
Отправлено turpanov.a , 23-Авг-12 06:21 
>> В качестве access свитчей у нас стоят hp procurve 2626.
>> Хотел применить функцию dynamic ip lockdown, которая на основании записей из dhcp-snooping
>> Кто-нибудь может что-то подсказать?
> show ip source-lockdown status
> show ip source-lockdown bindings
> debug dynamic-ip-lockdown

Активировал на одном порту (eth 23)

switch# sh ip source-lockdown status

Dynamic IP Lockdown Status Information

  Global State  : Disabled

  Port Operational State
  ---- --------------------
  21   Disabled
  22   Disabled
  23   Active
  24   Disabled
  25   Disabled
  26   Disabled

Включен только на одном порту.


switch# sh ip source-lockdown bindings

Dynamic IP Lockdown Bindings

  Port IP Address         Vlan Mac Address         Not in HW
  ---- ------------------ ---- ------------------- ---------
  23   10.1.2.3           200  88f3e9-576b61       YES
  23   10.1.2.5           200  00a4f3-2601bf       YES
  23   87.14.240.10       240  984be1-34f394       YES
  23   87.14.240.15       240  034063-f96a31       YES
  23   87.14.240.20       240  0c1e8c-1a9f3c       YES
  23   87.14.240.25       240  1c6465-f8de2e       YES

switch# debug dynamic-ip-lockdown


вообще никаких сообщений, при этом спокойно выхожу в инет.. Вручную на компе прописываю адрес, которого нет в source-lockdown bindings

"Запрет установки статических ip адресов."
Отправлено turpanov.a , 23-Авг-12 11:18 
Задачу решил с помощью DAI, однако почему не работала функция ip source-lockdown так и не понятно

"Запрет установки статических ip адресов."
Отправлено universite , 23-Авг-12 17:01 
> Задачу решил с помощью DAI, однако почему не работала функция ip source-lockdown
> так и не понятно

обратитесь в суппорт HP :)