Перерыл весь ОПЕННЕТ.ру Помогите зделать привязку IP дреса к порту(строго) Есть маршрутизатор С3662 и каталист 2950. Как сделать это акцесс литами? Хотелось видеть листы только на С2950, типа:
acl-list 11 permit any host 192.168.10.48
acl-list 11 permit host 192.168.10.48 any

Int fast 0/1
acces group 11

Никак не мог найти статью..

• Старая тема: 'Подмена IP',ВОЛКА, 23:14 , 17-Сен-04
  • Старая тема: 'Подмена IP',Spider2k, 21:59 , 18-Сен-04
    • Старая тема: 'Подмена IP',Вовкин, 08:01 , 20-Сен-04
    • Старая тема: 'Подмена IP',Сереги, 10:01 , 20-Сен-04
      • Старая тема: 'Подмена IP',xelar, 11:06 , 20-Сен-04
        • Старая тема: 'Подмена IP',Spider2k, 13:44 , 20-Сен-04
          • Старая тема: 'Подмена IP',Spider2k, 13:48 , 20-Сен-04
            • Старая тема: 'Подмена IP',xelar, 05:45 , 21-Сен-04
              • Старая тема: 'Подмена IP',Spider2k, 10:16 , 21-Сен-04
                • Старая тема: 'Подмена IP',Сереги, 18:24 , 21-Сен-04
                  • Старая тема: 'Подмена IP',Сереги, 18:32 , 21-Сен-04
                    • Старая тема: 'Подмена IP',xelar, 12:39 , 22-Сен-04
                      • Старая тема: 'Подмена IP',Vlad, 07:57 , 23-Сен-04
                      • Старая тема: 'Подмена IP',Spider2k, 09:08 , 23-Сен-04

а смысл?

>а смысл?

Смысл в том , что я не хочу привязываться к мак адресу, а желаю чтобы через порт свича можно было зайти(пользоваться сетью) только с конкретного ip адресса к примеру: 192.168.10.48
Т.к. привязка к маку, при смене сетевой карты, приводит к его переписыванию =)

>>а смысл?
>
>Смысл в том , что я не хочу привязываться к мак адресу,
>а желаю чтобы через порт свича можно было зайти(пользоваться сетью) только
>с конкретного ip адресса к примеру: 192.168.10.48
>Т.к. привязка к маку, при смене сетевой карты, приводит к его переписыванию
>=)

Видимо нужно использовать extended аксесс листы.

Есть мнение, что можно попробовать портсекьюрити

>Есть мнение, что можно попробовать портсекьюрити
Этим самым ты только запретишь менять MAC-адреса.

Сделать ACL на физические интерфейсы можно, только если залит EI.
Начиная с некоторой версии IOS, прошивка едина, и в зависимости от модели Catalyst ты получаешь EI или SI.

Switch(config)# access-list 1 remark Permit only Jones workstation through
Switch(config)# access-list 1 permit 171.69.2.88
Switch(config)# access-list 1 remark Do not allow Smith workstation through
Switch(config)# access-list 1 deny 171.69.3.13
Switch(config)# interface fa0/1
Switch(config-if)# ip access-group 1 in

>>Есть мнение, что можно попробовать портсекьюрити
>Этим самым ты только запретишь менять MAC-адреса.
>
>Сделать ACL на физические интерфейсы можно, только если залит EI.
>Начиная с некоторой версии IOS, прошивка едина, и в зависимости от модели
>Catalyst ты получаешь EI или SI.
>
>Switch(config)# access-list 1 remark Permit only Jones workstation through
>Switch(config)# access-list 1 permit 171.69.2.88
>Switch(config)# access-list 1 remark Do not allow Smith workstation through
>Switch(config)# access-list 1 deny 171.69.3.13
>Switch(config)# interface fa0/1
>Switch(config-if)# ip access-group 1 in

Мне это даже очень по душе, только где можно найти этот иос?
Могу заплатить только по безналу.

Cisco Internetwork Operating System Software
IOS (tm) C2950 Software (C2950-I6Q4L2-M), Version 12.1(13)EA1, RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2003 by cisco Systems, Inc.
Compiled Tue 04-Mar-03 02:14 by yenanh
Image text-base: 0x80010000, data-base: 0x805A8000

У меня вот такой ИОС

>Cisco Internetwork Operating System Software
>IOS (tm) C2950 Software (C2950-I6Q4L2-M), Version 12.1(13)EA1, RELEASE SOFTWARE (fc1)
>Copyright (c) 1986-2003 by cisco Systems, Inc.
>Compiled Tue 04-Mar-03 02:14 by yenanh
>Image text-base: 0x80010000, data-base: 0x805A8000
>
>У меня вот такой ИОС

EI или SI - зависит от самой модели коммутатора, ios сам определяет, в каком режиме ему работать (прошивка едина).
например при
Model number: WS-C2950G-24-EI все работает, (обрати внимание на "EI")
а на
Model number: WS-C2912-XL-EN - нет.
Чтобы проверить наверняка, посмотри наличие команды ip access-group на интерфейсе.

>Чтобы проверить наверняка, посмотри наличие команды ip access-group на интерфейсе.

c2950-2(config)#interface fastEthernet 0/20
c2950-2(config-if)#ip
c2950-2(config-if)#ip ?
Interface IP configuration subcommands:
  address  Set the IP address of an interface
  igmp     IGMP interface commands

Я предполагаю, что все плохо =)

Model number: WS-C2950G-24-EI где это точно можно увидеть?

Есть мнение, что версию IOS можно увидеть с помощью команды show version

Версию IOSa, конечно, тоже. Имелась в виду модель коммутатора.

>Версию IOSa, конечно, тоже. Имелась в виду модель коммутатора.
по show ver увидишь и модель коммутатора. Просто, как мне кажется, надежнее посмотреть наличие нужной команды, а не мучится с версиями.

Как вариант, можно откатить IOS до старой версии, которая EI на любом железе, но это связано с непредсказуемыми глюками, я сам такого делать не пробовал.

Или поднять на маршрутизаторе подинтерфейс dotq для одного юзера (придется потратить 4 IP адреса), и подать VLAN-ом на нужный порт

Или заморозить arp таблицу на маршрутизаторе (придется вручную написать все соответствия IP-MAC) и настроить портсекьюрити, что-бы MAC-и менять не смогли. - тоже не очень хороший вариант, особенно если машин много.

Сам я такую задачку решил при помощи VLAN, но из-за потерянных IP до сих пор жаба давит. Может кто предложит другое решение?

EI только на 2950T/G/C

>
>Сам я такую задачку решил при помощи VLAN, но из-за потерянных IP
>до сих пор жаба давит. Может кто предложит другое решение?

У меня ща такаяже политика безопасности, только я делаяю серые адреса и жаба не давит =)
Vlan 1
encaps dot1q
ip 192.168.1.1 255.255.255.252
!
ip nat inside source static 192.168.1.2 195.x.x.x

Работает все, ктоме IP телефонии, т.е.если надо только инет без примудростей, то ето самый ПОПС!