форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение		[ Отслеживать ]

"Запрет установки статических ip адресов."	+/–
Сообщение от turpanov.a (ok) on 14-Авг-12, 05:47
Доброго времени суток! Подскажите, если кто в курсе. В сети адреса раздаются с помощью dhcp сервера, однако некоторые пользователи умудряются назначать себе статические адреса, вызывая тем самым конфликты адресов. Компов достаточно много, поэтому писать acl на свитчах - не самое красивое решение, да и не самое удобное. В качестве access свитчей у нас стоят hp procurve 2626. Хотел применить функцию dynamic ip lockdown, которая на основании записей из dhcp-snooping bindings пропускает или не пропускает весь ip трафик. Настроил dhcp-snooping, подождал пару дней, пока заполнится таблица, включил lockdown на одном интерфейсе и начал тестировать. Включил в порт комп, дал ему адрес из нужной подсетки и результата никакого, трафик как ходил так и ходит. Перечитал несколько раз документацию, все условия функционирования соблюдены. Уже не знаю в чем дело. Может быть это функция не корректно реализована в hewllet-packard'е? Надо заметить, что все то же самое пытался реализовать на cisco (функция ip source guard) и все отрабатывалось как нужно. Весь трафик закрывается. А с HP не могу справиться. Кто-нибудь может что-то подсказать?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Запрет установки статических ip адресов."	+/–
Сообщение от crash (ok) on 14-Авг-12, 07:05
настроить в сети AD и запретить пользователям изменять сетевые настройки
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Запрет установки статических ip адресов."	+/–
	Сообщение от turpanov.a (ok) on 14-Авг-12, 08:38
	> настроить в сети AD и запретить пользователям изменять сетевые настройки это да, только еще есть принтеры, на которые особо не залогиниться под учетной записью.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Запрет установки статических ip адресов."	+/–
	Сообщение от eek on 14-Авг-12, 08:42
	>> настроить в сети AD и запретить >> пользователям изменять сетевые настройки > это да, только еще есть принтеры, > на которые особо не залогиниться под > учетной записью. А адреса на сетевом оборудовании у вас тоже пользователи меняют?
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Запрет установки статических ip адресов."	+/–
	Сообщение от turpanov.a (ok) on 14-Авг-12, 08:47
	>>> настроить в сети AD и запретить >>> пользователям изменять сетевые настройки >> это да, только еще есть принтеры, >> на которые особо не залогиниться под >> учетной записью. > А адреса на сетевом оборудовании у вас тоже пользователи меняют? нет конечно. Пользователи в своем vlan сидят.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Запрет установки статических ip адресов."	+/–
	Сообщение от crash (ok) on 16-Авг-12, 07:37
	>> настроить в сети AD и запретить пользователям изменять сетевые настройки > это да, только еще есть принтеры, на которые особо не залогиниться под > учетной записью. принтеры вынести в отдельный vlan. На самом деле я не понял при чем тут принтеры.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	6. "Запрет установки статических ip адресов."	+/–
	Сообщение от turpanov.a (ok) on 16-Авг-12, 10:01
	>>> настроить в сети AD и запретить пользователям изменять сетевые настройки >> это да, только еще есть принтеры, на которые особо не залогиниться под >> учетной записью. > принтеры вынести в отдельный vlan. На самом деле я не понял при > чем тут принтеры. Сетевые принтеры, на которых иногда сами пользователи зачем-то выставляют ручками адреса, которые уже выданы с помощью dhcp другим устройствам в сети. Начинаются конфликты. Спасибо большое за ответы, но меня больше интересует именно возможность реализации функции dynamic ip lockdown на hp procurve. Т.е. работает она корректно у этого вендора или же нет?
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Запрет установки статических ip адресов."	+/–
Сообщение от mrak (??) on 22-Авг-12, 13:43
> В качестве access свитчей у нас стоят hp procurve 2626. > Хотел применить функцию dynamic ip lockdown, которая на основании записей из dhcp-snooping > Кто-нибудь может что-то подсказать? show ip source-lockdown status show ip source-lockdown bindings debug dynamic-ip-lockdown
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	8. "Запрет установки статических ip адресов."	+/–
	Сообщение от turpanov.a (ok) on 23-Авг-12, 06:21
	>> В качестве access свитчей у нас стоят hp procurve 2626. >> Хотел применить функцию dynamic ip lockdown, которая на основании записей из dhcp-snooping >> Кто-нибудь может что-то подсказать? > show ip source-lockdown status > show ip source-lockdown bindings > debug dynamic-ip-lockdown Активировал на одном порту (eth 23) switch# sh ip source-lockdown status Dynamic IP Lockdown Status Information   Global State  : Disabled   Port Operational State   ---- --------------------   21   Disabled   22   Disabled   23   Active   24   Disabled   25   Disabled   26   Disabled Включен только на одном порту. switch# sh ip source-lockdown bindings Dynamic IP Lockdown Bindings   Port IP Address         Vlan Mac Address         Not in HW   ---- ------------------ ---- ------------------- ---------   23   10.1.2.3           200  88f3e9-576b61       YES   23   10.1.2.5           200  00a4f3-2601bf       YES   23   87.14.240.10       240  984be1-34f394       YES   23   87.14.240.15       240  034063-f96a31       YES   23   87.14.240.20       240  0c1e8c-1a9f3c       YES   23   87.14.240.25       240  1c6465-f8de2e       YES switch# debug dynamic-ip-lockdown вообще никаких сообщений, при этом спокойно выхожу в инет.. Вручную на компе прописываю адрес, которого нет в source-lockdown bindings
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Запрет установки статических ip адресов."	+/–
Сообщение от turpanov.a (ok) on 23-Авг-12, 11:18
Задачу решил с помощью DAI, однако почему не работала функция ip source-lockdown так и не понятно
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	10. "Запрет установки статических ip адресов."	+/–
	Сообщение от universite (ok) on 23-Авг-12, 17:01
	> Задачу решил с помощью DAI, однако почему не работала функция ip source-lockdown > так и не понятно обратитесь в суппорт HP :)
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема