Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1
RSS
Cisco arp inspection, Задача: привязать ip-address к определенному маку
 
Задача: привязать ip-address к определенному маку.

Уже несколько раз столкнулись с проблемой: если кто то из сети присваивает адрес шлюза/сервера, то сеть висит.
Пробовали с помощью arp inspection на cisco 3550 создать соответствующий акцеесс лист, но не получилось.

Может кто сталвивался с этим, какие нить подводные камни знает - пишите.
 
Цитата
Dubrovsky пишет:
Уже несколько раз столкнулись с проблемой: если кто то из сети присваивает адрес шлюза/сервера, то сеть висит.

1) Есть варианты с помощью port security привязать mac к порту коммутатора.
2) Есть вариант привязать mac'и к vlan'у
 
Можно почитать http://www.cisco.com/en/US/products/hw/switches/ps646/products_configuration_­guide_chapter09186a00801f0a3d.html
 
Port security пользовались- отработывает отлично, но сеть большая и привязывать все маки и выключать порты неиспользуемые  - значит создавать себе гору проблем и лишней работы.
Необходимо именно исключить возможность выбора ip адресов из группы серверов.
Юзеры на компах не админы - это помогает, но часто приносят ноутбуки  - и начинается перебор ip.

P.S. Физические меры расправы с пользователями не проходят, так как организация серьезная.
 
А у Вас 3550 роутит или этим занимается выделенная  железка ?
 
может все-таки поставить arpwatch, чтобы если два ARP ответа пришло с разными маками на адрес шлюза, то сразу знать
 
можно еще сделать аутентификацию через 802.1x или VPN.
 
Сервера утащить в отдельный vlan со своей подсетью, у юзеров default gateway сделать циску, сделать соответственно на ней роутинг для подсетей. И забыть как страшный сон про то, что юзер может взять себе IP сервера или шлюза. Пусть берет, только будет сидеть один как злобный буратино. :)
 
Цитата
ak_ пишет:
Сервера утащить в отдельный vlan со своей подсетью, у юзеров default gateway сделать циску, сделать соответственно на ней роутинг для подсетей. И забыть как страшный сон про то, что юзер может взять себе IP сервера или шлюза. Пусть берет, только будет сидеть один как злобный буратино.

Да, хороший совет, мы частично используем такой вариант, но здесь не хотелось бы менять исторически сложившуюся схему и адресацию.

Цитата
edwin пишет:
А у Вас 3550 роутит или этим занимается выделенная железка ?

Да роутит, и надо чтобы в арп-таблице этой железки статично запомнить для айпишников серверов только их маки.
Либо с помощью arp-inspection исключить возможность присвоения ip адреса.

Цитата
ksiva пишет:
можно еще сделать аутентификацию через 802.1x или VPN.

Это по сути дела локалка - поэтому vpn - не катит, а аутентификация через 802.1x  - вышеописанный геморрой и лишняя работа.
 
Все решили проблему, сразу arp-inspection не заработал потому что проверяли на циске свободной и не указали ее шлюзом (за идею спасибо edwin).
Для того чтобы заработало, необходимо чтобы на циске был поднят роутинг и ее адрес указан шлюзом на машинах пользователей.
Привожу куски конфига:

arp access-list test_arp
permit ip host 10.1.3.2 mac host 0011.2fd9.231e
deny ip host 10.1.3.2 mac any
permit ip any mac any

- разрешил определенному маку использовать ip адрес

ip arp inspection vlan 1                               -  включаем arp inspection для влана
ip arp inspection filter test_arp vlan 1      -  применяем фильтр
 
у меня такое ощущение что Cisco - единственная компания, которая хоть как-то пытается решить проблемы на layer 2. за arp inspection спасибо.
 
Я бы посоветовал использовать: errdisable recovery cause arp-inspection, а то порт в err-disable уходить будет при каждом несоответствии ip и mac-адреса.
Страницы: 1
Читают тему