Добрый вечер, уважаемые!Возникла необходимость привязки ip+mac+port и первое что в голову пришло ip source guard for static host (все хосты со статическими ip). Но по ходу настройки выянилось что данная фича не поддерживается супервизором. Может кто знает какое-либо альтернативное решение (без использования dhcp)???
супервизор - WS-X45-SUP6-E
иос - cat4500e-IPBASE-M 12.2(44)SG1
как вариант сделать catalyst L3 рутером, порты сделать L3 unnumbered с соотвествующими /32 роутами для host-ов, маки привязать
или помутить с кучей ACL
>как вариант сделать catalyst L3 рутером, порты сделать L3 unnumbered с соотвествующими
>/32 роутами для host-ов, маки привязать
>или помутить с кучей ACLвариант - маки к портам и повесить ACL на эти же порты, рассматривался...
но как то не очень красиво выглядит)))
>но как то не очень красиво выглядит)))dhcp snooping было бы красиво :)
>>но как то не очень красиво выглядит)))
>
>dhcp snooping было бы красиво :)вопрос по dhcp snooping: читал про него, но так и не понял - наличие dhcp обязательно???
По ходу чтения мануала складывалась впечатление что эту же функцию можно использовать и для статических хостов. Разъясните, пожалуйста, есть ли такая возможность или я неправильно понимаю???
>>>но как то не очень красиво выглядит)))
>>
>>dhcp snooping было бы красиво :)
>
>вопрос по dhcp snooping: читал про него, но так и не понял
>- наличие dhcp обязательно???
>По ходу чтения мануала складывалась впечатление что эту же функцию можно использовать
>и для статических хостов. Разъясните, пожалуйста, есть ли такая возможность или
>я неправильно понимаю???не пробовал, но можно попробовать добавить ip dhcp snooping binding, а затем включить ip source guard - вероятно будет тот же эффект что и у ip source binding
>>но как то не очень красиво выглядит)))
>
>dhcp snooping было бы красиво :)да, красиво, но не защитит ли это только от выборки всех адресов с DHCP-сервера и вообще аномального поведения порта в плане DHCP-запросов? Не-dhcp трафик при наличии dhcp-snooping не фильтруется и не контролируется.
>да, красиво, но не защитит ли это только от выборки всех адресов
>с DHCP-сервера и вообще аномального поведения порта в плане DHCP-запросов?дак его надо, совместно с ip source guard использовать, красиво - так как руками прописывать ничего не надо
. Но по
> ходу настройки выянилось что данная фича не поддерживается супервизором.
> супервизор - WS-X45-SUP6-E
> иос - cat4500e-IPBASE-M 12.2(44)SG1Поддерживается:
Включить:
To enable IPSG with static hosts on a port, enter the following commands:
Switch(config)# ip device tracking ****enable IP device tracking globally
Switch(config)# ip device tracking max <n> ***set an IP device tracking maximum on int
Switch(config-if)# ip verify source tracking [port-security] ****activate IPSG on portВыключить:
To stop IPSG with static hosts on an interface, use the following commands in interface configuration submode:
Switch(config-if)# no ip verify source
Switch(config-if)# no ip device tracking maxИсточник: http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst45...
>[оверквотинг удален]
> Switch(config)# ip device tracking ****enable IP device tracking globally
> Switch(config)# ip device tracking max <n> ***set an IP device tracking maximum
> on int
> Switch(config-if)# ip verify source tracking [port-security] ****activate IPSG on port
> Выключить:
> To stop IPSG with static hosts on an interface, use the following
> commands in interface configuration submode:
> Switch(config-if)# no ip verify source
> Switch(config-if)# no ip device tracking max
> Источник: http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst45...ip dhcp snooping vlan 2222
ip dhcp snoopinginterface GigabitEthernet9/10
switchport access vlan 2222
switchport mode access
switchport nonegotiate
switchport port-security
switchport port-security violation restrict
ip verify source vlan dhcp-snooping port-securityip source binding <MAC> vlan 2222 <IP> interface Gi9/10