- ip source guard for static host на Catalyst 4500, none, 17:25 , 22-Янв-10 (1)
как вариант сделать catalyst L3 рутером, порты сделать L3 unnumbered с соотвествующими /32 роутами для host-ов, маки привязать или помутить с кучей ACL
- ip source guard for static host на Catalyst 4500, dom, 17:30 , 22-Янв-10 (2)
>как вариант сделать catalyst L3 рутером, порты сделать L3 unnumbered с соотвествующими >/32 роутами для host-ов, маки привязать >или помутить с кучей ACL вариант - маки к портам и повесить ACL на эти же порты, рассматривался... но как то не очень красиво выглядит)))
- ip source guard for static host на Catalyst 4500, none, 17:47 , 22-Янв-10 (3)
>но как то не очень красиво выглядит))) dhcp snooping было бы красиво :)
- ip source guard for static host на Catalyst 4500, dom, 17:59 , 22-Янв-10 (4)
>>но как то не очень красиво выглядит))) > >dhcp snooping было бы красиво :) вопрос по dhcp snooping: читал про него, но так и не понял - наличие dhcp обязательно??? По ходу чтения мануала складывалась впечатление что эту же функцию можно использовать и для статических хостов. Разъясните, пожалуйста, есть ли такая возможность или я неправильно понимаю???
- ip source guard for static host на Catalyst 4500, none, 19:00 , 22-Янв-10 (5)
>>>но как то не очень красиво выглядит))) >> >>dhcp snooping было бы красиво :) > >вопрос по dhcp snooping: читал про него, но так и не понял >- наличие dhcp обязательно??? >По ходу чтения мануала складывалась впечатление что эту же функцию можно использовать >и для статических хостов. Разъясните, пожалуйста, есть ли такая возможность или >я неправильно понимаю??? не пробовал, но можно попробовать добавить ip dhcp snooping binding, а затем включить ip source guard - вероятно будет тот же эффект что и у ip source binding
- ip source guard for static host на Catalyst 4500, spunky, 08:31 , 23-Янв-10 (6)
>>но как то не очень красиво выглядит))) > >dhcp snooping было бы красиво :) да, красиво, но не защитит ли это только от выборки всех адресов с DHCP-сервера и вообще аномального поведения порта в плане DHCP-запросов? Не-dhcp трафик при наличии dhcp-snooping не фильтруется и не контролируется.
- ip source guard for static host на Catalyst 4500, none, 13:02 , 23-Янв-10 (7)
>да, красиво, но не защитит ли это только от выборки всех адресов >с DHCP-сервера и вообще аномального поведения порта в плане DHCP-запросов? дак его надо, совместно с ip source guard использовать, красиво - так как руками прописывать ничего не надо
- ip source guard for static host на Catalyst 4500, uragan, 11:03 , 26-Сен-16 (8)
. Но по > ходу настройки выянилось что данная фича не поддерживается супервизором. > супервизор - WS-X45-SUP6-E > иос - cat4500e-IPBASE-M 12.2(44)SG1 Поддерживается: Включить: To enable IPSG with static hosts on a port, enter the following commands: Switch(config)# ip device tracking ****enable IP device tracking globally Switch(config)# ip device tracking max <n> ***set an IP device tracking maximum on int Switch(config-if)# ip verify source tracking [port-security] ****activate IPSG on port Выключить: To stop IPSG with static hosts on an interface, use the following commands in interface configuration submode: Switch(config-if)# no ip verify source Switch(config-if)# no ip device tracking max Источник: http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst45...
- ip source guard for static host на Catalyst 4500, dom, 09:11 , 27-Сен-16 (9)
>[оверквотинг удален] > Switch(config)# ip device tracking ****enable IP device tracking globally > Switch(config)# ip device tracking max <n> ***set an IP device tracking maximum > on int > Switch(config-if)# ip verify source tracking [port-security] ****activate IPSG on port > Выключить: > To stop IPSG with static hosts on an interface, use the following > commands in interface configuration submode: > Switch(config-if)# no ip verify source > Switch(config-if)# no ip device tracking max > Источник: http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst45... ip dhcp snooping vlan 2222 ip dhcp snooping interface GigabitEthernet9/10 switchport access vlan 2222 switchport mode access switchport nonegotiate switchport port-security switchport port-security violation restrict ip verify source vlan dhcp-snooping port-security ip source binding <MAC> vlan 2222 <IP> interface Gi9/10
|