- ip source guard for static host на Catalyst 4500,
 none, 17:25 , 22-Янв-10 (1)как вариант сделать catalyst L3 рутером, порты сделать L3 unnumbered с соотвествующими /32 роутами для host-ов, маки привязать
или помутить с кучей ACL
- ip source guard for static host на Catalyst 4500, dom, 17:30 , 22-Янв-10 (2)
>как вариант сделать catalyst L3 рутером, порты сделать L3 unnumbered с соотвествующими
>/32 роутами для host-ов, маки привязать
>или помутить с кучей ACL вариант - маки к портам и повесить ACL на эти же порты, рассматривался...
но как то не очень красиво выглядит)))
- ip source guard for static host на Catalyst 4500, none, 17:47 , 22-Янв-10 (3)
>но как то не очень красиво выглядит))) dhcp snooping было бы красиво :)
- ip source guard for static host на Catalyst 4500, dom, 17:59 , 22-Янв-10 (4)
>>но как то не очень красиво выглядит)))
>
>dhcp snooping было бы красиво :) вопрос по dhcp snooping: читал про него, но так и не понял - наличие dhcp обязательно???
По ходу чтения мануала складывалась впечатление что эту же функцию можно использовать и для статических хостов. Разъясните, пожалуйста, есть ли такая возможность или я неправильно понимаю???
- ip source guard for static host на Catalyst 4500, none, 19:00 , 22-Янв-10 (5)
>>>но как то не очень красиво выглядит)))
>>
>>dhcp snooping было бы красиво :)
>
>вопрос по dhcp snooping: читал про него, но так и не понял
>- наличие dhcp обязательно???
>По ходу чтения мануала складывалась впечатление что эту же функцию можно использовать
>и для статических хостов. Разъясните, пожалуйста, есть ли такая возможность или
>я неправильно понимаю??? не пробовал, но можно попробовать добавить ip dhcp snooping binding, а затем включить ip source guard - вероятно будет тот же эффект что и у ip source binding
- ip source guard for static host на Catalyst 4500, spunky, 08:31 , 23-Янв-10 (6)
>>но как то не очень красиво выглядит)))
>
>dhcp snooping было бы красиво :) да, красиво, но не защитит ли это только от выборки всех адресов с DHCP-сервера и вообще аномального поведения порта в плане DHCP-запросов? Не-dhcp трафик при наличии dhcp-snooping не фильтруется и не контролируется.
- ip source guard for static host на Catalyst 4500, none, 13:02 , 23-Янв-10 (7)
>да, красиво, но не защитит ли это только от выборки всех адресов
>с DHCP-сервера и вообще аномального поведения порта в плане DHCP-запросов? дак его надо, совместно с ip source guard использовать, красиво - так как руками прописывать ничего не надо
- ip source guard for static host на Catalyst 4500, uragan, 11:03 , 26-Сен-16 (8)
. Но по
> ходу настройки выянилось что данная фича не поддерживается супервизором.
> супервизор - WS-X45-SUP6-E
> иос - cat4500e-IPBASE-M 12.2(44)SG1 Поддерживается:
Включить:
To enable IPSG with static hosts on a port, enter the following commands:
Switch(config)# ip device tracking ****enable IP device tracking globally
Switch(config)# ip device tracking max <n> ***set an IP device tracking maximum on int
Switch(config-if)# ip verify source tracking [port-security] ****activate IPSG on port Выключить:
To stop IPSG with static hosts on an interface, use the following commands in interface configuration submode:
Switch(config-if)# no ip verify source
Switch(config-if)# no ip device tracking max Источник: http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst45...
- ip source guard for static host на Catalyst 4500, dom, 09:11 , 27-Сен-16 (9)
>[оверквотинг удален]
> Switch(config)# ip device tracking ****enable IP device tracking globally
> Switch(config)# ip device tracking max <n> ***set an IP device tracking maximum
> on int
> Switch(config-if)# ip verify source tracking [port-security] ****activate IPSG on port
> Выключить:
> To stop IPSG with static hosts on an interface, use the following
> commands in interface configuration submode:
> Switch(config-if)# no ip verify source
> Switch(config-if)# no ip device tracking max
> Источник: http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst45... ip dhcp snooping vlan 2222
ip dhcp snooping interface GigabitEthernet9/10
switchport access vlan 2222
switchport mode access
switchport nonegotiate
switchport port-security
switchport port-security violation restrict
ip verify source vlan dhcp-snooping port-security ip source binding <MAC> vlan 2222 <IP> interface Gi9/10
|
Версия для распечатки
ip source guard for static host на Catalyst 4500, 
