схема:

инет--С1721--Cat2950--клиенты

есть скажем десять клиентов и у них 10 МАКов. Как сделать так чтобы только верная пара IP-MAC смогла выйти в инет? Т.е предотвратить изменения IP адреса клиентом.

• как привязать IP к МАС ,denn, 11:25 , 26-Июл-04
  • как привязать IP к МАС ,denn, 11:26 , 26-Июл-04
• как привязать IP к МАС ,Citrin, 12:15 , 26-Июл-04
  • как привязать IP к МАС ,brozzer, 12:27 , 26-Июл-04
    • как привязать IP к МАС ,Citrin, 12:46 , 26-Июл-04
• как привязать IP к МАС ,Citrin, 12:24 , 26-Июл-04
  • как привязать IP к МАС ,brozzer, 12:36 , 26-Июл-04
    • как привязать IP к МАС ,ipmanyak, 11:12 , 27-Июл-04

>схема:
>
>инет--С1721--Cat2950--клиенты
>
>есть скажем десять клиентов и у них 10 МАКов. Как сделать так
>чтобы только верная пара IP-MAC смогла выйти в инет? Т.е предотвратить
>изменения IP адреса клиентом.

/etc/ethers

>>схема:
>>
>>инет--С1721--Cat2950--клиенты
>>
>>есть скажем десять клиентов и у них 10 МАКов. Как сделать так
>>чтобы только верная пара IP-MAC смогла выйти в инет? Т.е предотвратить
>>изменения IP адреса клиентом.
>
>/etc/ethers

опа, :), виноват - перепутал с виртуальным форумом

>схема:
>
>инет--С1721--Cat2950--клиенты
>
>есть скажем десять клиентов и у них 10 МАКов. Как сделать так
>чтобы только верная пара IP-MAC смогла выйти в инет? Т.е предотвратить
>изменения IP адреса клиентом.

1. На 2950 с помощью port security привязываешь mac-и к порту.
2. На 1721 с помощью arp привязываешь ip к mac

>1. На 2950 с помощью port security привязываешь mac-и к порту.

на одном порту сидят несколько клиентов( хаб )

>2. На 1721 с помощью arp привязываешь ip к mac

если не трудно как?
то есть скажем прописываем ассоциацию мака и адреса, и потом акселями закрываем или как?

заранее спасибо

>>1. На 2950 с помощью port security привязываешь mac-и к порту.
>
>на одном порту сидят несколько клиентов( хаб )
>
>>2. На 1721 с помощью arp привязываешь ip к mac
>
>то есть скажем прописываем ассоциацию мака и адреса, и потом акселями закрываем
>или как?

Думаю достаточно просто татически прописать arp-запись, без acl
arp 192.168.10.10 0002.b3d8.dcb2 arpa
А если не делать привязку маков к портам, то можно будет просто прописать себе чужой MAC+IP и спокойно работать выдавая себя за другого юзера. А расчитываь на что мак менять не станут не стоит, даже в внде это легко меняется в свойствах сетевой карты.
Можно к одному порту коммутатора привязать несколько маков, и настройть секьюрити в такой режим, чтоб левые маки просто игнорировались, без отрубания порта. Тогда круг "подозреваемых" будет ограничен хостами подключенными к одному порту каталиста. Если клиентов много то нужно сделать базу где для каждого клиента будет указан mac, ip и указано к какому проту и на каком каталисте подключен клиент. И к этому еще софт, которые автоматически правит конфиги на каталистах при изменениях в базе. Реализовать например этот можно с помощью snmp+tftp. Можно ли это сделать только с помощью snmp пока не знаю...

>схема:
>
>инет--С1721--Cat2950--клиенты
>
>есть скажем десять клиентов и у них 10 МАКов. Как сделать так
>чтобы только верная пара IP-MAC смогла выйти в инет? Т.е предотвратить
>изменения IP адреса клиентом.
http://www.opennet.me/openforum/vsluhforumID6/5584.html
http://www.opennet.me/openforum/vsluhforumID3/3906.html

>http://www.opennet.me/openforum/vsluhforumID6/5584.html
>http://www.opennet.me/openforum/vsluhforumID3/3906.html

спасибо за ссылки, но интересует именно решение на рутере, так как на свиче количество клиентов и их принадлежность к портам не статичны и регулярно меняются.

>
>>http://www.opennet.me/openforum/vsluhforumID6/5584.html
>>http://www.opennet.me/openforum/vsluhforumID3/3906.html
>
>
>спасибо за ссылки, но интересует именно решение на рутере, так как на
>свиче количество клиентов и их принадлежность к портам не статичны и
>регулярно меняются.

Citrin тебе уже ответил ! создаешь arp таблицу и всё!
arp 192.168.10.10 0002.b3d8.dcb2
sh arp