форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Dynamic ARP Inspection catalist 3750 trouble"
Сообщение от ruslan (ok) on 14-Дек-05, 10:40  (MSK)
Добрый день Нужно привязать пользователей к маку и IP, маки привязал на свитчах (блокируется порт если появляется другой мак), на 3750 необходимо привязать мак к IP. Пробую воспользоваться DAI. Трафик от пользователя приходит на 3750 в транке. Вот части конфигов: errdisable recovery cause arp-inspection . ip arp inspection filter arp_208 vlan  208 static . interface GigabitEthernet1/0/8 switchport trunk encapsulation dot1q switchport trunk allowed vlan 1,208 switchport mode trunk ip arp inspection limit none . arp access-list arp_208 permit ip host 172.18.8.2 mac any static Теперь делаю: #sh vlan 208  NET_208                          active #sh ip arp inspection statistics vla 208 Vlan      Forwarded        Dropped     DHCP Drops      ACL Drops ----      ---------        -------     ----------      ---------   208              0              0              0              0 Vlan   DHCP Permits    ACL Permits   Source MAC Failures ----   ------------    -----------   -------------------   208              0              0                     0 Vlan   Dest MAC Failures   IP Validation Failures   Invalid Protocol Data ----   -----------------   ----------------------   ---------------------   208                   0                        0                       0 #show ip arp inspection vla 208 Source Mac Validation      : Disabled Destination Mac Validation : Disabled IP Address Validation      : Disabled Vlan     Configuration    Operation   ACL Match          Static ACL ----     -------------    ---------   ---------          ----------   208     Disabled         Inactive    arp_208            Yes Vlan     ACL Logging      DHCP Logging ----     -----------      ------------   208     Deny             Deny видно что DAI на 208 влане не работает, эксперимент это подтвердил Может я ошибаюсь в сути технологии?
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Сообщения по теме

[Сортировка по времени, UBB]

1. "Dynamic ARP Inspection catalist 3750 trouble"
Сообщение от Nailer (??) on 14-Дек-05, 10:46  (MSK)
>Добрый день > >Нужно привязать пользователей к маку и IP, маки привязал на свитчах (блокируется >порт если появляется другой мак), на 3750 необходимо привязать мак к >IP. Пробую воспользоваться DAI. Трафик от пользователя приходит на 3750 в >транке. Вот части конфигов: > > >errdisable recovery cause arp-inspection >. >ip arp inspection filter arp_208 vlan  208 static >. >interface GigabitEthernet1/0/8 > switchport trunk encapsulation dot1q > switchport trunk allowed vlan 1,208 > switchport mode trunk > ip arp inspection limit none >. >arp access-list arp_208 > permit ip host 172.18.8.2 mac any static > >Теперь делаю: > >#sh vlan >208  NET_208           >           >     active > > >#sh ip arp inspection statistics vla 208 > > Vlan      Forwarded     >   Dropped     DHCP Drops   >    ACL Drops > ----      ---------     >   -------     ----------   >   --------- >  208           >    0       >       0     >          0 >           >  0 > > Vlan   DHCP Permits    ACL Permits   > Source MAC Failures > ----   ------------    -----------   ------------------- > >  208           >    0       >       0     >           >      0 > > Vlan   Dest MAC Failures   IP Validation Failures >  Invalid Protocol Data > ----   -----------------   ----------------------   --------------------- >  208           >         0   >           >           >0           >           > 0 > > >#show ip arp inspection vla 208 > >Source Mac Validation      : Disabled >Destination Mac Validation : Disabled >IP Address Validation      : Disabled > > Vlan     Configuration    Operation   > ACL Match         > Static ACL > ----     -------------    ---------   > ---------           >---------- >  208     Disabled     >    Inactive    arp_208   >         Yes > > Vlan     ACL Logging     > DHCP Logging > ----     -----------       >------------ >  208     Deny     >        Deny > > > >видно что DAI на 208 влане не работает, эксперимент это подтвердил >Может я ошибаюсь в сути технологии? Насколько я помню, для него надо включать DHCP Snooping и заставлять клиента получать IP из DHCP. Иначе откуда каталист узнает, правильную связку MAC-IP у клиента?
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Dynamic ARP Inspection catalist 3750 trouble"
	Сообщение от ruslan (ok) on 14-Дек-05, 11:28  (MSK)
	> >Насколько я помню, для него надо включать DHCP Snooping и заставлять клиента >получать IP из DHCP. Иначе откуда каталист узнает, правильную связку MAC-IP >у клиента? У меня статически прописаны acl (arp access-list arp_208). Это в документации обозвано non-DHCP environment
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Dynamic ARP Inspection catalist 3750 trouble"
	Сообщение от ruslan (ok) on 14-Дек-05, 13:39  (MSK)
	>> >>Насколько я помню, для него надо включать DHCP Snooping и заставлять клиента >>получать IP из DHCP. Иначе откуда каталист узнает, правильную связку MAC-IP >>у клиента? >У меня статически прописаны acl (arp access-list arp_208). Это в документации обозвано >non-DHCP environment Разобрался, в документации 12.2(25), в секции non-DHCP environment, отсутствует команда ip arp insp vlan, сразу идет установка фильтра.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]