форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Старая тема: 'Подмена IP'"
Сообщение от Spider2k (ok) on 17-Сен-04, 22:47  (MSK)
Перерыл весь ОПЕННЕТ.ру Помогите зделать привязку IP дреса к порту(строго) Есть маршрутизатор С3662 и каталист 2950. Как сделать это акцесс литами? Хотелось видеть листы только на С2950, типа: acl-list 11 permit any host 192.168.10.48 acl-list 11 permit host 192.168.10.48 any Int fast 0/1 acces group 11 Никак не мог найти статью..
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Старая тема: 'Подмена IP'"
Сообщение от ВОЛКА on 17-Сен-04, 23:14  (MSK)
а смысл?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Старая тема: 'Подмена IP'"
	Сообщение от Spider2k (??) on 18-Сен-04, 21:59  (MSK)
	>а смысл? Смысл в том , что я не хочу привязываться к мак адресу, а желаю чтобы через порт свича можно было зайти(пользоваться сетью) только с конкретного ip адресса к примеру: 192.168.10.48 Т.к. привязка к маку, при смене сетевой карты, приводит к его переписыванию =)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Старая тема: 'Подмена IP'"
	Сообщение от Вовкин (ok) on 20-Сен-04, 08:01  (MSK)
	>>а смысл? > >Смысл в том , что я не хочу привязываться к мак адресу, >а желаю чтобы через порт свича можно было зайти(пользоваться сетью) только >с конкретного ip адресса к примеру: 192.168.10.48 >Т.к. привязка к маку, при смене сетевой карты, приводит к его переписыванию >=) Видимо нужно использовать extended аксесс листы.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Старая тема: 'Подмена IP'"
	Сообщение от Сереги on 20-Сен-04, 10:01  (MSK)
	Есть мнение, что можно попробовать портсекьюрити
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Старая тема: 'Подмена IP'"
	Сообщение от xelar (??) on 20-Сен-04, 11:06  (MSK)
	>Есть мнение, что можно попробовать портсекьюрити Этим самым ты только запретишь менять MAC-адреса. Сделать ACL на физические интерфейсы можно, только если залит EI. Начиная с некоторой версии IOS, прошивка едина, и в зависимости от модели Catalyst ты получаешь EI или SI. Switch(config)# access-list 1 remark Permit only Jones workstation through Switch(config)# access-list 1 permit 171.69.2.88 Switch(config)# access-list 1 remark Do not allow Smith workstation through Switch(config)# access-list 1 deny 171.69.3.13 Switch(config)# interface fa0/1 Switch(config-if)# ip access-group 1 in
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Старая тема: 'Подмена IP'"
	Сообщение от Spider2k (ok) on 20-Сен-04, 13:44  (MSK)
	>>Есть мнение, что можно попробовать портсекьюрити >Этим самым ты только запретишь менять MAC-адреса. > >Сделать ACL на физические интерфейсы можно, только если залит EI. >Начиная с некоторой версии IOS, прошивка едина, и в зависимости от модели >Catalyst ты получаешь EI или SI. > >Switch(config)# access-list 1 remark Permit only Jones workstation through >Switch(config)# access-list 1 permit 171.69.2.88 >Switch(config)# access-list 1 remark Do not allow Smith workstation through >Switch(config)# access-list 1 deny 171.69.3.13 >Switch(config)# interface fa0/1 >Switch(config-if)# ip access-group 1 in Мне это даже очень по душе, только где можно найти этот иос? Могу заплатить только по безналу.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Старая тема: 'Подмена IP'"
	Сообщение от Spider2k (ok) on 20-Сен-04, 13:48  (MSK)
	Cisco Internetwork Operating System Software IOS (tm) C2950 Software (C2950-I6Q4L2-M), Version 12.1(13)EA1, RELEASE SOFTWARE (fc1) Copyright (c) 1986-2003 by cisco Systems, Inc. Compiled Tue 04-Mar-03 02:14 by yenanh Image text-base: 0x80010000, data-base: 0x805A8000 У меня вот такой ИОС
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Старая тема: 'Подмена IP'"
	Сообщение от xelar (??) on 21-Сен-04, 05:45  (MSK)
	>Cisco Internetwork Operating System Software >IOS (tm) C2950 Software (C2950-I6Q4L2-M), Version 12.1(13)EA1, RELEASE SOFTWARE (fc1) >Copyright (c) 1986-2003 by cisco Systems, Inc. >Compiled Tue 04-Mar-03 02:14 by yenanh >Image text-base: 0x80010000, data-base: 0x805A8000 > >У меня вот такой ИОС EI или SI - зависит от самой модели коммутатора, ios сам определяет, в каком режиме ему работать (прошивка едина). например при Model number: WS-C2950G-24-EI все работает, (обрати внимание на "EI") а на Model number: WS-C2912-XL-EN - нет. Чтобы проверить наверняка, посмотри наличие команды ip access-group на интерфейсе.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Старая тема: 'Подмена IP'"
	Сообщение от Spider2k (??) on 21-Сен-04, 10:16  (MSK)
	>Чтобы проверить наверняка, посмотри наличие команды ip access-group на интерфейсе. c2950-2(config)#interface fastEthernet 0/20 c2950-2(config-if)#ip c2950-2(config-if)#ip ? Interface IP configuration subcommands:   address  Set the IP address of an interface   igmp     IGMP interface commands Я предполагаю, что все плохо =) Model number: WS-C2950G-24-EI где это точно можно увидеть?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "Старая тема: 'Подмена IP'"
	Сообщение от Сереги on 21-Сен-04, 18:24  (MSK)
	Есть мнение, что версию IOS можно увидеть с помощью команды show version
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "Старая тема: 'Подмена IP'"
	Сообщение от Сереги on 21-Сен-04, 18:32  (MSK)
	Версию IOSa, конечно, тоже. Имелась в виду модель коммутатора.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "Старая тема: 'Подмена IP'"
	Сообщение от xelar (??) on 22-Сен-04, 12:39  (MSK)
	>Версию IOSa, конечно, тоже. Имелась в виду модель коммутатора. по show ver увидишь и модель коммутатора. Просто, как мне кажется, надежнее посмотреть наличие нужной команды, а не мучится с версиями. Как вариант, можно откатить IOS до старой версии, которая EI на любом железе, но это связано с непредсказуемыми глюками, я сам такого делать не пробовал. Или поднять на маршрутизаторе подинтерфейс dotq для одного юзера (придется потратить 4 IP адреса), и подать VLAN-ом на нужный порт Или заморозить arp таблицу на маршрутизаторе (придется вручную написать все соответствия IP-MAC) и настроить портсекьюрити, что-бы MAC-и менять не смогли. - тоже не очень хороший вариант, особенно если машин много. Сам я такую задачку решил при помощи VLAN, но из-за потерянных IP до сих пор жаба давит. Может кто предложит другое решение?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "Старая тема: 'Подмена IP'"
	Сообщение от Vlad (??) on 23-Сен-04, 07:57  (MSK)
	EI только на 2950T/G/C
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "Старая тема: 'Подмена IP'"
	Сообщение от Spider2k (??) on 23-Сен-04, 09:08  (MSK)
	> >Сам я такую задачку решил при помощи VLAN, но из-за потерянных IP >до сих пор жаба давит. Может кто предложит другое решение? У меня ща такаяже политика безопасности, только я делаяю серые адреса и жаба не давит =) Vlan 1 encaps dot1q ip 192.168.1.1 255.255.255.252 ! ip nat inside source static 192.168.1.2 195.x.x.x Работает все, ктоме IP телефонии, т.е.если надо только инет без примудростей, то ето самый ПОПС!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.