https://opennet.me/openforum/vsluhforumID6/18283.html есть каталис 2960, у него каждый порт сконфигурирован так:<br>interface GigabitEthernet0/2<br> switchport mode access<br> switchport port-security<br> switchport port-security violation protect<br> switchport port-security mac-address 0011.xxxx.xxxx<br> duplex full<br><br>а если на любой по выбору порт повесить снифер, то мы увидем кучу запросов пограничного роутера "кто тут 0014.xxxx.xxxx" ну или типа того....<br>вопрос, раз каталист такой умный что может позволить себе привязку по мас адресам на порт, то почему же он запросы "кто тут с мас адресом...." не отфильтровывает на соотведствуюший порт, а транслирует на все порты? может что то дописать в конфиге надо?<br> https://opennet.me/openforum/vsluhforumID6/18283.html#9 Tue, 24 Feb 2009 09:18:33 GMT &gt;"кто тут с маком хххх.хххх.хххх.хххх?" это не арп, а рарп кстати. арп <br>&gt;это "какой у тя мак, ты, 192.168.1.17?" <br><br>- все верно говорите, в одном вилане, и что хост отвечает....<br>но все же как то производить фильтрацию на каталисте можно? <br> https://opennet.me/openforum/vsluhforumID6/18283.html#8 Mon, 23 Feb 2009 12:18:19 GMT "кто тут с маком хххх.хххх.хххх.хххх?" это не арп, а рарп кстати. арп это "какой у тя мак, ты, 192.168.1.17?"<br> https://opennet.me/openforum/vsluhforumID6/18283.html#7 Mon, 23 Feb 2009 12:09:26 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt;вопрос, раз каталист такой умный что может позволить себе привязку по мас <br>&gt;&gt;адресам на порт, то почему же он запросы "кто тут с <br>&gt;&gt;мас адресом...." не отфильтровывает на соотведствуюший порт, а транслирует на все <br>&gt;&gt;порты? может что то дописать в конфиге надо? <br>&gt;<br>&gt;Вы начинаете путать понятия. <br>&gt;У вас все порты, как я понимаю, в одном vlan'е. Следовательно, в <br>&gt;одном домене широковещания. <br>&gt;На широковещательный запрос отвечает НЕ КОММУТАТОР, а ХОСТ. <br><br>устройство 2-го уровня этого делать не может вовсе.<br> https://opennet.me/openforum/vsluhforumID6/18283.html#6 Mon, 23 Feb 2009 08:31:45 GMT &gt;[оверквотинг удален]<br>&gt; switchport port-security mac-address 0011.xxxx.xxxx <br>&gt; duplex full <br>&gt;<br>&gt;а если на любой по выбору порт повесить снифер, то мы увидем <br>&gt;кучу запросов пограничного роутера "кто тут 0014.xxxx.xxxx" ну или типа того.... <br>&gt;<br>&gt;вопрос, раз каталист такой умный что может позволить себе привязку по мас <br>&gt;адресам на порт, то почему же он запросы "кто тут с <br>&gt;мас адресом...." не отфильтровывает на соотведствуюший порт, а транслирует на все <br>&gt;порты? может что то дописать в конфиге надо? <br><br>Вы начинаете путать понятия. <br>У вас все порты, как я понимаю, в одном vlan'е. Следовательно, в одном домене широковещания.<br>На широковещательный запрос отвечает НЕ КОММУТАТОР, а ХОСТ.<br><br> https://opennet.me/openforum/vsluhforumID6/18283.html#5 Fri, 20 Feb 2009 08:31:39 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;мас адресом...." не отфильтровывает на соотведствуюший порт, а транслирует на все <br>&gt;&gt;&gt;порты? может что то дописать в конфиге надо? <br>&gt;&gt;<br>&gt;&gt;вы настроили конфигурацию "с порта Gi0/2" не пускать маки, кроме 0011.xxxx.xxxx <br>&gt;&gt;<br>&gt;&gt;видимо, в дополнение к ней надо настроить что-то типа <br>&gt;&gt;mac address-table static 0011.xxxx.xxxx vlan 123 interface GigabitEthernet0/2 <br>&gt;&gt;и так далее для всех. <br>&gt;<br>&gt;arp-запросы приходят не с порта gi0/2 <br><br>с gi0/1<br> https://opennet.me/openforum/vsluhforumID6/18283.html#4 Fri, 20 Feb 2009 07:11:09 GMT &gt;[оверквотинг удален]<br>&gt;&gt;вопрос, раз каталист такой умный что может позволить себе привязку по мас <br>&gt;&gt;адресам на порт, то почему же он запросы "кто тут с <br>&gt;&gt;мас адресом...." не отфильтровывает на соотведствуюший порт, а транслирует на все <br>&gt;&gt;порты? может что то дописать в конфиге надо? <br>&gt;<br>&gt;вы настроили конфигурацию "с порта Gi0/2" не пускать маки, кроме 0011.xxxx.xxxx <br>&gt;<br>&gt;видимо, в дополнение к ней надо настроить что-то типа <br>&gt;mac address-table static 0011.xxxx.xxxx vlan 123 interface GigabitEthernet0/2 <br>&gt;и так далее для всех. <br><br>arp-запросы приходят не с порта gi0/2 <br><br> https://opennet.me/openforum/vsluhforumID6/18283.html#3 Fri, 20 Feb 2009 07:10:48 GMT тоесть по сути, каждый порт запихнуть в свой vlan ?<br><br>а если мне надо что бы все arp запросы шли только на один порт? а там висела служба которая отвечала какому мас-у какой ip. это возможно? как? <br><br><br> https://opennet.me/openforum/vsluhforumID6/18283.html#2 Fri, 20 Feb 2009 06:12:05 GMT &gt;[оверквотинг удален]<br>&gt; switchport port-security mac-address 0011.xxxx.xxxx <br>&gt; duplex full <br>&gt;<br>&gt;а если на любой по выбору порт повесить снифер, то мы увидем <br>&gt;кучу запросов пограничного роутера "кто тут 0014.xxxx.xxxx" ну или типа того.... <br>&gt;<br>&gt;вопрос, раз каталист такой умный что может позволить себе привязку по мас <br>&gt;адресам на порт, то почему же он запросы "кто тут с <br>&gt;мас адресом...." не отфильтровывает на соотведствуюший порт, а транслирует на все <br>&gt;порты? может что то дописать в конфиге надо? <br><br>вы настроили конфигурацию "с порта Gi0/2" не пускать маки, кроме 0011.xxxx.xxxx<br><br>видимо, в дополнение к ней надо настроить что-то типа<br>mac address-table static 0011.xxxx.xxxx vlan 123 interface GigabitEthernet0/2<br>и так далее для всех.<br><br> https://opennet.me/openforum/vsluhforumID6/18283.html#1 Thu, 19 Feb 2009 20:41:00 GMT &gt;[оверквотинг удален]<br>&gt; switchport port-security mac-address 0011.xxxx.xxxx <br>&gt; duplex full <br>&gt;<br>&gt;а если на любой по выбору порт повесить снифер, то мы увидем <br>&gt;кучу запросов пограничного роутера "кто тут 0014.xxxx.xxxx" ну или типа того.... <br>&gt;<br>&gt;вопрос, раз каталист такой умный что может позволить себе привязку по мас <br>&gt;адресам на порт, то почему же он запросы "кто тут с <br>&gt;мас адресом...." не отфильтровывает на соотведствуюший порт, а транслирует на все <br>&gt;порты? может что то дописать в конфиге надо? <br><br>привяка это статическая записить в таблице пересылки коммутатора,<br>Вас тревожит что ARP-запросы приходят на какой-либо порт ?<br>