Jump to content

Каталист и запрет ARP

vladd
 Share

Recommended Posts

vladd

vladd

Posted
Posted

Есть ли возможность на каталисте 3550 (EMI) полностью отключить ARP-обучение на определенных Vlan-интерфейсах, чтобы использовались только статические ARP-записи? "no arp arpa" не помогает - если на удаленном компе прописать циску в его статическую arp-таблицу, то циска подхватывает такой MAC и без протокола ARP. Поэтому пока приходится специальным скриптом делать вот так:

 

arp 192.168.xx.yy 00:0d:65:00:00:00 arpa

 

на каждый из неиспользуемых IP в сети. Понятно, что это изврат, и есть ощущение, что arp-таблица в циске скоро кончится. Поэтому вопрос - есть ли возможность добиться того же самого по другому? Если нельзя в 3550, то где можно? Сейчас как раз стоит вопрос об апгрейде.

vladd

vladd

Posted
  • Author
Posted
скорей всего нужно, чтобы левые компы в сети не могли работать

Это как раз и нужно. Неужели никакая циска не умеет этого?

edwin

edwin

Posted
Posted
Есть ли возможность на каталисте 3550 (EMI) полностью отключить ARP-обучение на определенных Vlan-интерфейсах, чтобы использовались только статические ARP-записи? "no arp arpa" не помогает - если на удаленном компе прописать циску в его статическую arp-таблицу, то циска подхватывает такой MAC и без протокола ARP. Поэтому пока приходится специальным скриптом делать вот так:

 

arp 192.168.xx.yy 00:0d:65:00:00:00 arpa

 

на каждый из неиспользуемых IP в сети. Понятно, что это изврат, и есть ощущение, что arp-таблица в циске скоро кончится. Поэтому вопрос - есть ли возможность добиться того же самого по другому? Если нельзя в 3550, то где можно? Сейчас как раз стоит вопрос об апгрейде.

Вообще такие вещи делаются с помощью port security на физическом интерфейсе .....

vladd

vladd

Posted
  • Author
Posted (edited)

Вообще такие вещи делаются с помощью port security на физическом интерфейсе .....

А если физический интерфейс представляет из себя неуправляемый свитч? Ибо по всем расчетам дешевле поставить еще одну циску на узел, чем постоянно менять выгорающие дорогие железки на некоторых домах?

Edited by vladd
edwin

edwin

Posted
Posted

> А если физический интерфейс представляет из себя неуправляемый свитч?

 

прописать маки на интерфейсе к неуправляемому свичу... врятли их там много будет ..... типа:

 

switchport port-security mac-address xxxx.yyyy.zzzz

switchport port-security mac-address xxxx.yyyy.zzz2

switchport port-security mac-address xxxx.yyyy.zzz1

vladd

vladd

Posted
  • Author
Posted
> А если физический интерфейс представляет из себя неуправляемый свитч?

 

прописать маки на интерфейсе к неуправляемому свичу... врятли их там много будет ..... типа:

switchport port-security mac-address xxxx.yyyy.zzzz

Там немного все хитрее - для неизвестных мак-адресов сервер dhcp выдает специальный левый IP и default gw на себя. После этого новый или отключенный клиент может зайти на специальную страничку, авторизоваться, и тогда его MAC прописывается в циске и в dhcp. И уже потом работать нормально. А включение port-security не позволит такому клиенту даже достучаться до странички регистрации.

 

Нужно чтобы циска именно не роутила левые IP. Если например, сделать это на ACL, не загнется ли циска от 1500 записей?

short

short

Posted
Posted
Нужно чтобы циска именно не роутила левые IP. Если например, сделать это на ACL, не загнется ли циска от 1500 записей?

 

ну е мое. а самому пойти и почитать никак?

http://cisco.com/en/US/products/hw/switche...#switchdatabase

 

свои static arp записи считайте как роуты..

ayamb

ayamb

Posted
Posted

Там немного все хитрее - для неизвестных мак-адресов сервер dhcp выдает специальный левый IP и default gw на себя. После этого новый или отключенный клиент может зайти на специальную страничку, авторизоваться, и тогда его MAC прописывается в циске и в dhcp. И уже потом работать нормально.

Для такой цели проще "подсовывать" гостевую VLAN, со всеми вытекающими отсюда... возможностями. :)

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.