Всем привет.
Подскажите, как можно к mac источника привязать определенный ip. И, если в таблице коммутации появлялся этот mac с другим ip, пакеты его отбрасывались.
Ip адрес, клиент получает от dhcp сервера, на который сделать релей с рутера. На самом кошаке нужно сделать что-то типа статической записи arp и жестко привязать определенный mac к IP. Прошу помощи, поскольку самому не получается разобраться.Системка: cisco catalyst 6500.
>Всем привет.
>Подскажите, как можно к mac источника привязать определенный ip. И, если в
>таблице коммутации появлялся этот mac с другим ip, пакеты его отбрасывались.
>
>Ip адрес, клиент получает от dhcp сервера, на который сделать релей с
>рутера. На самом кошаке нужно сделать что-то типа статической записи arp
>и жестко привязать определенный mac к IP. Прошу помощи, поскольку самому
>не получается разобраться.
>
>Системка: cisco catalyst 6500.Поможет поиск по ключевым словам
dhcp snooping
dynamyc arp inspection
ip source guard
>[оверквотинг удален]
>>рутера. На самом кошаке нужно сделать что-то типа статической записи arp
>>и жестко привязать определенный mac к IP. Прошу помощи, поскольку самому
>>не получается разобраться.
>>
>>Системка: cisco catalyst 6500.
>
>Поможет поиск по ключевым словам
>dhcp snooping
>dynamyc arp inspection
>ip source guardПривязка IP-MAC
ip dhcp pool name
host 192.168.1.1 255.255.255.0
client-identifier 01 MAC hex
>[оверквотинг удален]
>>Поможет поиск по ключевым словам
>>dhcp snooping
>>dynamyc arp inspection
>>ip source guard
>
>Привязка IP-MAC
>
>ip dhcp pool name
> host 192.168.1.1 255.255.255.0
> client-identifier 01 MAC hexгы. уже вижу этот конфиг клиентов на 500-1000... или побольше.
имхо здесь задача не дать клиенту прописать статикой другой адрес.
ip source guard тут нужен. ну и dynamic arp inspection до кучи.
ОК, разобрался, спасибо!Использовал arp access list. Кому интересно, вот пример:
arp access-list static-arp
permit request ip host 10.100.1.252 mac host 001b.fc30.9d98
deny request ip any mac host 001b.fc30.9d98
permit request ip any mac anyip arp inspection filter static-arp static-arp vlan 350 static
ip arp inspection vlan 350Пользователь с указанным маком пробует прописать себе адрес отличный от 10.100.1.252 -> рутер пакеты от этого источника блокирует...
Иного способа я не нашел!
>[оверквотинг удален]
>permit request ip host 10.100.1.252 mac host 001b.fc30.9d98
>deny request ip any mac host 001b.fc30.9d98
>permit request ip any mac any
>
>ip arp inspection filter static-arp static-arp vlan 350 static
>ip arp inspection vlan 350
>
>Пользователь с указанным маком пробует прописать себе адрес отличный от 10.100.1.252 -> рутер пакеты от этого источника блокирует...
>
>Иного способа я не нашел!че-то както сложно все у тебя
так не канает чтоли?(config)#arp 1.2.3.4 aaaa.bbbb.cccc arpa
>че-то както сложно все у тебя
>так не канает чтоли?
>
>(config)#arp 1.2.3.4 aaaa.bbbb.cccc arpaПробовал, такой командой создается arp запись в таблице коммутации и если клиент с mac (aaaa.bbbb.cccc) прописывает сам себе ip (напр 1.2.3.10), появляется еще одна запись. У клиента все работает.
>[оверквотинг удален]
> Использовал arp access list. Кому интересно, вот пример:
> arp access-list static-arp
> permit request ip host 10.100.1.252 mac host 001b.fc30.9d98
> deny request ip any mac host 001b.fc30.9d98
> permit request ip any mac any
> ip arp inspection filter static-arp static-arp vlan 350 static
> ip arp inspection vlan 350
> Пользователь с указанным маком пробует прописать себе адрес отличный от 10.100.1.252 ->
> рутер пакеты от этого источника блокирует...
> Иного способа я не нашел!Можно усложнить вопрос? Будет ли работать данная схема, если адрес и MAC находятся в VLAN проходящем через CISCO, но само CISCO не имеет адреса в этом VLAN и соответственно адреса не попадают в arp таблицу. Как решать вопрос в этом случае. Возможно стоит применить правило к порту?