URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 5584
[ Назад ]

Исходное сообщение
"Защита от подмены ip адреса"
Отправлено retro , 22-Июн-04 08:47

Имеется: catalyst 2900XL IOS 11.2. К каждому порту catalyst подключено от 1 до 3-х пользователей.
Требуется: убрать возможность подмены ip адресов на каждом порту
Пути решения:
1)Повесить на каждый порт acl, ограничивающий доступ с чужих адресов. Только вот IOS не поддерживает
2) Сделать # arp ip_addr mac arpa fastEthernet 0/3. Но почему-то выдает такую штуку:
# Bad ARP command - Interface may only be specified when bridging IP
3) Сделать # no mac-address-table secure 0050.da6e.a0f0 ?
vlan vlan name
Но нужен fastethernet! а не vlan! (можно и vlan, но не могу создать с таким иосом vlan, отличный от vlan1).
или
# mac-address-table static 0050.da6e.a0f0 fastEthernet 0/3
Но почему-то пинг до узла с таким маком после этого пропадает.
Может я что-то не так делаю ?
Спасибо.

Содержание

Защита от подмены ip адреса,Citrin, 11:26 , 22-Июн-04
- Защита от подмены ip адреса,retro, 15:41 , 22-Июн-04
Защита от подмены ip адреса,retro, 09:20 , 23-Июн-04

Сообщения в этом обсуждении

"Защита от подмены ip адреса"
Отправлено Citrin , 22-Июн-04 11:26

>Имеется: catalyst 2900XL IOS 11.2. К каждому порту catalyst подключено от 1
>до 3-х пользователей.
Для этой задачи есть проверенное на практике решение:
1. С помощью порт-секьюрити привязваается мак к потру на каталисте.
2. ip к маку привязвается с помощью arp на роутере.
Что касается настроек именно 2900 то так:
interface FastEthernet0/2
port security max-mac-count 1
port security action shutdown
!
interface FastEthernet0/3
port security max-mac-count 3
port security action shutdown
!
Маки запоминаются сами. Чтоб почистить то что киска запомнила нужно сделать clear port-security насколько помню.

"Защита от подмены ip адреса"
Отправлено retro , 22-Июн-04 15:41

>>Имеется: catalyst 2900XL IOS 11.2. К каждому порту catalyst подключено от 1
>>до 3-х пользователей.
>
>Для этой задачи есть проверенное на практике решение:
>1. С помощью порт-секьюрити привязваается мак к потру на каталисте.
>2. ip к маку привязвается с помощью arp на роутере.
>
>Что касается настроек именно 2900 то так:
>
>interface FastEthernet0/2
> port security max-mac-count 1
> port security action shutdown
>!
>interface FastEthernet0/3
> port security max-mac-count 3
> port security action shutdown
>!
>
>Маки запоминаются сами. Чтоб почистить то что киска запомнила нужно сделать clear
>port-security насколько помню.
Большое спасибо

"Защита от подмены ip адреса"
Отправлено retro , 23-Июн-04 09:20

И еще: может подскажет кто, как сделать так, чтобы пользователи не видели друг друга? (не получается настроить vlanы, отличные от vlan1)