Jump to content

Вопрос по железке linksys SPS224G4

Ice_man
 Share

Recommended Posts

Ice_man

Ice_man

Posted
Posted

Есть linksys SPS224G4, на котором необходимо осуществить привязку MAC+IP для каждого порта. В сети работает dhcp, который выдает настройки в любом месте... Т.к. включен дхцп снуппинг, который необходим для соурс гуарда, если абонент подменит мак и получит ай-пи, она вместе с маком сама добавляется в таблицу дхца снуппинг биндинга. Таким образом получается, что привязка не будет реализирована. Подскажите, как поставить ограничение на количество записей для каждого порта в этой таблице, либо же что бы она вообще не изменялась автоматически, а записи были только те, которые внесены вручную.

Либо же подскажите другой способ реализации привязок.

P.S. Я не прошу дать набор команд, а подсказать или сказать, возможно ли такое вообще на этой железке.

Спасибо.

Ice_man

Ice_man

Posted
  • Author
Posted

Арп инспекшен работает по информации, взятой из базы данных привязки дхцп снуппинга. А в эту базу записи добавляются сами, если абонент получит айпи по дхцп. Т.е., если он себе подменит мак, он получит ай-пи по маку и инфа об этом маке+айпи сама добавится в базу привязки дхцп снуппинга (она же, соурс гуард биндинг база...) и будет работать. Задача в том, что бы база сама не обновлялась, или какой-то другой способ реализации привязки...

Elisium

Elisium

Posted
Posted
а записи были только те, которые внесены вручную.

Статическая привязка

console(config)# ip source-guard binding
  H.H.H or H:H:H:H:H:H or H-H-H-H-H-H
                       MAC address

Дегтярев Илья

Дегтярев Илья

Posted
Posted
если он себе подменит мак...что бы база сама не обновлялась

Как тут уже упоминали, хреновый тот провайдер, кто упоминает при юзере слово МАК-адрес.

Не надо смотреть на маки в пакетах. Так, проверять, чтоб не забивали ткамы/не ставили чужие/шлюза/не создавали петли.

 

Поэтому на свитче mac-security на 4-8 мака, arp inspect, source guard; а вот уже на dhcp по 82 опции вылавливаем пытающихся напакостить/привязываем ипы.

 

Ice_man

Ice_man

Posted
  • Author
Posted
а записи были только те, которые внесены вручную.

Статическая привязка

console(config)# ip source-guard binding
  H.H.H or H:H:H:H:H:H or H-H-H-H-H-H
                       MAC address

Когда устройство получит по дхцп другой адресс, на эту статическую привязку будет все равно...

Задача в том, что бы с одного порта не пропускать пакеты, если мак+ip не совпадают.

 

Поэтому на свитче mac-security на 4-8 мака, arp inspect, source guard; а вот уже на dhcp по 82 опции вылавливаем пытающихся напакостить/привязываем ипы.

Привязывать айпи к портам? Не подходит. Нужно решить проблему по другому. В сети работает дхцп, выдающий ай-пи по маку.

Zmey_skif

Zmey_skif

Posted
Posted
Арп инспекшен работает по информации, взятой из базы данных привязки дхцп снуппинга. А в эту базу записи добавляются сами, если абонент получит айпи по дхцп. Т.е., если он себе подменит мак, он получит ай-пи по маку и инфа об этом маке+айпи сама добавится в базу привязки дхцп снуппинга (она же, соурс гуард биндинг база...) и будет работать. Задача в том, что бы база сама не обновлялась, или какой-то другой способ реализации привязки...
Как уже говорилось - вешайте статические привязки и не мучайтесь.

Выдавайте dhcp-ой абону одну и туже ip-шку и будет вам счастье.

в такой позе сейчас живут около 20К абонов на этих железках и не жалуются. DHCP берез из базы мак клиента и его ip, на портах статичные привязки. Если у клиента меняется мак - он звонит в саппорт и сообщает новый. Была идея уйти и от звонка в саппорт, путем гостевого влана... но руки не дошли.

Ice_man

Ice_man

Posted
  • Author
Posted
Выдавайте IP по порту свича.
Не подходит такой вариант.

 

 

Как уже говорилось - вешайте статические привязки и не мучайтесь.

Выдавайте dhcp-ой абону одну и туже ip-шку и будет вам счастье.

в такой позе сейчас живут около 20К абонов на этих железках и не жалуются. DHCP берез из базы мак клиента и его ip, на портах статичные привязки. Если у клиента меняется мак - он звонит в саппорт и сообщает новый. Была идея уйти и от звонка в саппорт, путем гостевого влана... но руки не дошли.

Я наверное не совсем корректно описал ситуацию. ДХЦП работает так как Вы сказали. По маку выдает одну и туже айпи, на один мак- одну и туже айпи. Если рассмотреть ситуацию: абонент подменяет мак другого абонента, по дхцп он получает айпи другого абонента, мак которого он подменил. В базу соурс гвард биндинга автоматически занесется запись с ай-пи и маком, который он подменил. Таким образом он сможет работать под чужим маком.

Задача именно в том, что бы если он подменит мак и получит ай-пи - оборудование его не выпускало с порта. Т.е. что бы выпускало только тот мак+айпи, который я укажу, и никаким образом другой не выпускало, независимо от того, что он получает или не получает по дхцп.

 

Можно с Вами связаться по icq или телефону? Скиньте свой, или напишите на 423678556, пожалуйста=)

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.