форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Однозначная привязка MAC к IP"
Сообщение от Денис on 28-Ноя-03, 10:37  (MSK)
Есть Router 2621 к которому на Eth 0/1 подключен Catalyst 2950 SI IOS only. К порту каталиста подключен клиент у которого должен быть только определённый IP. Если бы каталист был с EI IOS задача решилась бы просто создание ACL на порту, но в SI такое не возможно :( Подскажите, пожалуйста, выход. Спасибо
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Однозначная привязка MAC к IP"
Сообщение от divig on 28-Ноя-03, 10:41  (MSK)
Создан Vlan, дай пул с маской 252, разрули через машрутизатор.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Однозначная привязка MAC к IP"
	Сообщение от Денис on 28-Ноя-03, 10:48  (MSK)
	>Создан Vlan, дай пул с маской 252, разрули через машрутизатор. Я извиняюсь за тупость, но можно пример
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Однозначная привязка MAC к IP"
	Сообщение от Денис on 28-Ноя-03, 10:55  (MSK)
	>>Создан Vlan, дай пул с маской 252, разрули через машрутизатор. > > >Я извиняюсь за тупость, но можно пример В таком варианте придется терять 4 IP адреса на одного клиента - не очень хорошо. А возможно загнать порт на каталисте во VLAN, на роутере поднять подинтерфейс для этой VLAN и наложить на него ACL?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Однозначная привязка MAC к IP"
	Сообщение от Volume on 28-Ноя-03, 11:18  (MSK)
	>>>Создан Vlan, дай пул с маской 252, разрули через машрутизатор. >> >> >>Я извиняюсь за тупость, но можно пример > > >В таком варианте придется терять 4 IP адреса на одного клиента - >не очень хорошо. >А возможно загнать порт на каталисте во VLAN, на роутере поднять подинтерфейс >для этой VLAN и наложить на него ACL? ну прям задания с лабы.. попробуйте port-security + статическая запись в арп
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Однозначная привязка MAC к IP"
	Сообщение от A Clockwork Orange on 28-Ноя-03, 11:55  (MSK)
	статическая запись arp поиск по каким ключевым словам на cisco.com?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Однозначная привязка MAC к IP"
	Сообщение от Денис on 28-Ноя-03, 12:12  (MSK)
	>>>>Создан Vlan, дай пул с маской 252, разрули через машрутизатор. >>> >>> >>>Я извиняюсь за тупость, но можно пример >> >> >>В таком варианте придется терять 4 IP адреса на одного клиента - >>не очень хорошо. >>А возможно загнать порт на каталисте во VLAN, на роутере поднять подинтерфейс >>для этой VLAN и наложить на него ACL? > >ну прям задания с лабы.. > >попробуйте >port-security + статическая запись в арп port-security не позволит всего лишь менять MAC на порту Статическая запись в ARP (как я понимаю на роутере) не позволит никому использовать указанный IP кроме указанного мака А мне нужно, чтобы на порту был определённый IP По описанной выше схеме при смене IP в арп появится ещё одна динамическая запись и всё будет ОК работать
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Однозначная привязка MAC к IP"
	Сообщение от A Clockwork Orange on 28-Ноя-03, 12:50  (MSK)
	Статическая arp запись не позволит MAC поставить в соответствие другой IP
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	22. "Однозначная привязка MAC к IP"
	Сообщение от Sonne on 01-Дек-03, 16:25  (MSK)
	>>>>Создан Vlan, дай пул с маской 252, разрули через машрутизатор. >>> >>> >>>Я извиняюсь за тупость, но можно пример >> >> >>В таком варианте придется терять 4 IP адреса на одного клиента - >>не очень хорошо. >>А возможно загнать порт на каталисте во VLAN, на роутере поднять подинтерфейс >>для этой VLAN и наложить на него ACL? > >ну прям задания с лабы.. > >попробуйте >port-security + статическая запись в арп А что на лабе много таких тривиальных вещей? :) А как вам идея использовать p2p сетки с маской .254 или unnumbered p2p ethernet link + proxy ARP? первое точно работает, экономит 50% адресов, второе - мои измышлизмы которые случайно могут оказаться работоспособными :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Однозначная привязка MAC к IP"
Сообщение от Wowa on 28-Ноя-03, 11:12  (MSK)
>Есть Router 2621 к которому на Eth 0/1 подключен Catalyst 2950 SI >IOS only. К порту каталиста подключен клиент у которого должен быть >только определённый IP. >Если бы каталист был с EI IOS задача решилась бы просто создание >ACL на порту, но в SI такое не возможно :( >Подскажите, пожалуйста, выход. >Спасибо На каталисте port security, на роутере статическая arp таблица Но с вланами, имхо, правильней.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Однозначная привязка MAC к IP"
	Сообщение от Денис on 28-Ноя-03, 11:18  (MSK)
	>>Есть Router 2621 к которому на Eth 0/1 подключен Catalyst 2950 SI >>IOS only. К порту каталиста подключен клиент у которого должен быть >>только определённый IP. >>Если бы каталист был с EI IOS задача решилась бы просто создание >>ACL на порту, но в SI такое не возможно :( >>Подскажите, пожалуйста, выход. >>Спасибо > >На каталисте port security, на роутере статическая arp таблица >Но с вланами, имхо, правильней. В сети есть DHCP. Если прописать статическую ARP придется убрать DHCP. С вланами сейчас пробую, но возмоно ли создать подинтерфейс на роутере для данной влан без ип, а далее отфильтровать с помощью ACL.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "Однозначная привязка MAC к IP"
	Сообщение от Volume on 28-Ноя-03, 13:27  (MSK)
	>В сети есть DHCP. >Если прописать статическую ARP придется убрать DHCP. >С вланами сейчас пробую, но возмоно ли создать подинтерфейс на роутере для >данной влан без ип, а далее отфильтровать с помощью ACL. серьезно? дхцп уже разучились резервировать ип для мака? статическая запись не даст привязать такой мак к другому ип
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "Однозначная привязка MAC к IP"
	Сообщение от Денис on 28-Ноя-03, 13:44  (MSK)
	> >>В сети есть DHCP. >>Если прописать статическую ARP придется убрать DHCP. >>С вланами сейчас пробую, но возмоно ли создать подинтерфейс на роутере для >>данной влан без ип, а далее отфильтровать с помощью ACL. > >серьезно? дхцп уже разучились резервировать ип для мака? > >статическая запись не даст привязать такой мак к другому ип Даст конечно, но тогда зачем он вообще будет нужен. Проблема в том, что это тупиковый вариант. Нужно будет прописать все ип по маки на дхцп и в арпе, иначе любой не прописанный может быть получен.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "Однозначная привязка MAC к IP"
	Сообщение от Volume on 28-Ноя-03, 14:26  (MSK)
	либо вы не рассказали задание и ситуацию полностью, либо я не понял
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "Однозначная привязка MAC к IP"
	Сообщение от Денис on 28-Ноя-03, 16:13  (MSK)
	>либо вы не рассказали задание и ситуацию полностью, либо я не понял > В сети класа С часть адресов назначены статически, остальная часть раздается дхцп. Пользователь со статическим адресом подключен на порт каталиста 2950 с SI IOS only. Каталист подключен к роутеру 2621. Хотелось бы запретить пользователю изменять ип. Спасибо.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "Однозначная привязка MAC к IP"
	Сообщение от Volume on 28-Ноя-03, 16:31  (MSK)
	тогда еще раз, чем не подходит мой способ? много исключать из дхцп? или что?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	15. "Однозначная привязка MAC к IP"
	Сообщение от Денис on 28-Ноя-03, 16:58  (MSK)
	>тогда еще раз, чем не подходит мой способ? много исключать из дхцп? >или что? У нужного пользователя как раз статический адрес. Я хочу ему запретить менять адрес на другой статический или динамический. Привязаться можно только к порту свича. На мой взгляд с SI IOS это можно только через вланы. Спасибо
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	16. "Однозначная привязка MAC к IP"
	Сообщение от Volume on 28-Ноя-03, 17:03  (MSK)
	>>тогда еще раз, чем не подходит мой способ? много исключать из дхцп? >>или что? > >У нужного пользователя как раз статический адрес. >Я хочу ему запретить менять адрес на другой статический или динамический. >Привязаться можно только к порту свича. >На мой взгляд с SI IOS это можно только через вланы. > >Спасибо нет, не только. вы либо не понимаете, что я предлагаю, либо не можете объяснить, почему не поджойдет этот способ я не навязываю, мне просто интересно
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	17. "Однозначная привязка MAC к IP"
	Сообщение от Денис on 28-Ноя-03, 17:10  (MSK)
	>>>тогда еще раз, чем не подходит мой способ? много исключать из дхцп? >>>или что? >> >>У нужного пользователя как раз статический адрес. >>Я хочу ему запретить менять адрес на другой статический или динамический. >>Привязаться можно только к порту свича. >>На мой взгляд с SI IOS это можно только через вланы. >> >>Спасибо > >нет, не только. вы либо не понимаете, что я предлагаю, либо не >можете объяснить, почему не поджойдет этот способ > >я не навязываю, мне просто интересно Я понимаю что Вы предлагаете: 1) port security чтобы он не мог изменить MAC 2) добавить в арп статическую запись для нужного мака 3) на дхцп прописать для него нужный ип если я всё понял правильно От дхцп он получит нужный адрес, но кто ему мешает прописать себе ип из диапазона статических адресов?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	18. "Однозначная привязка MAC к IP"
	Сообщение от Денис on 28-Ноя-03, 17:21  (MSK)
	>>>>тогда еще раз, чем не подходит мой способ? много исключать из дхцп? >>>>или что? >>> >>>У нужного пользователя как раз статический адрес. >>>Я хочу ему запретить менять адрес на другой статический или динамический. >>>Привязаться можно только к порту свича. >>>На мой взгляд с SI IOS это можно только через вланы. >>> >>>Спасибо >> >>нет, не только. вы либо не понимаете, что я предлагаю, либо не >>можете объяснить, почему не поджойдет этот способ >> >>я не навязываю, мне просто интересно > >Я понимаю что Вы предлагаете: >1) port security чтобы он не мог изменить MAC >2) добавить в арп статическую запись для нужного мака >3) на дхцп прописать для него нужный ип > >если я всё понял правильно > >От дхцп он получит нужный адрес, но кто ему мешает прописать себе >ип из диапазона статических адресов? Я ещё раз всё прочитал и остановился на фразе: статическая запись не даст привязать такой мак к другому ип если имеется в виду запись на роутере ARP xxx.xxx.xxx xxxx.xxxx.xxxx.xxxx ARPA ALIAS то могу четко сказать: пользователь с прописанным в статической записи маком спокойно работает с другим адресом
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	19. "Однозначная привязка MAC к IP"
	Сообщение от Volume on 28-Ноя-03, 22:39  (MSK)
	>Я ещё раз всё прочитал и остановился на фразе: > >статическая запись не даст привязать такой мак к другому ип > >если имеется в виду запись на роутере > >ARP xxx.xxx.xxx xxxx.xxxx.xxxx.xxxx ARPA ALIAS > >то могу четко сказать: >пользователь с прописанным в статической записи маком спокойно работает с другим адресом > конечно, хоть 10 алиасов ему нарисуйте, но в моем предложении нет слова алиас.   switchport mode access   switchport port-security   switchport port-security maximum 1   switchport port-security violation protect   switchport port-security mac-address 0010.4bb0.acdc (AC-DC heavy metal) :))   no arp arpa ! arp 192.168.1.230 0010.4bb0.acdc ARPA fastEthernet 0/12
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	20. "Однозначная привязка MAC к IP"
	Сообщение от White_Eagle on 01-Дек-03, 11:29  (MSK)
	Господа, а что делать, если 12-й порт находится например в 10-ом vlan-е? Запись: >arp 192.168.1.230 0010.4bb0.acdc ARPA fastEthernet 0/12 проходит, но ничего не работает :( а запись arp 192.168.1.230 0010.4bb0.acdc ARPA Vlan 10 дает ошибку: Bad ARP command - Interface may only be specified when bridging IP Как здесь быть?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	21. "Однозначная привязка MAC к IP"
	Сообщение от White_Eagle on 01-Дек-03, 11:44  (MSK)
	Сорри люди за простой вопрос :)) Сам уже нашел ответ :) на int vlan 10 делаем no arp arpa и прописываем arp 192.168.1.230 0010.4bb0.acdc ARPA после чего все работает ок :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.