Jump to content
Калькуляторы

Вопрос по железке linksys SPS224G4 Подскажите...

Есть linksys SPS224G4, на котором необходимо осуществить привязку MAC+IP для каждого порта. В сети работает dhcp, который выдает настройки в любом месте... Т.к. включен дхцп снуппинг, который необходим для соурс гуарда, если абонент подменит мак и получит ай-пи, она вместе с маком сама добавляется в таблицу дхца снуппинг биндинга. Таким образом получается, что привязка не будет реализирована. Подскажите, как поставить ограничение на количество записей для каждого порта в этой таблице, либо же что бы она вообще не изменялась автоматически, а записи были только те, которые внесены вручную.

Либо же подскажите другой способ реализации привязок.

P.S. Я не прошу дать набор команд, а подсказать или сказать, возможно ли такое вообще на этой железке.

Спасибо.

Share this post


Link to post
Share on other sites

Арп инспекшен работает по информации, взятой из базы данных привязки дхцп снуппинга. А в эту базу записи добавляются сами, если абонент получит айпи по дхцп. Т.е., если он себе подменит мак, он получит ай-пи по маку и инфа об этом маке+айпи сама добавится в базу привязки дхцп снуппинга (она же, соурс гуард биндинг база...) и будет работать. Задача в том, что бы база сама не обновлялась, или какой-то другой способ реализации привязки...

Share this post


Link to post
Share on other sites
а записи были только те, которые внесены вручную.

Статическая привязка

console(config)# ip source-guard binding
  H.H.H or H:H:H:H:H:H or H-H-H-H-H-H
                       MAC address

Share this post


Link to post
Share on other sites
если он себе подменит мак...что бы база сама не обновлялась

Как тут уже упоминали, хреновый тот провайдер, кто упоминает при юзере слово МАК-адрес.

Не надо смотреть на маки в пакетах. Так, проверять, чтоб не забивали ткамы/не ставили чужие/шлюза/не создавали петли.

 

Поэтому на свитче mac-security на 4-8 мака, arp inspect, source guard; а вот уже на dhcp по 82 опции вылавливаем пытающихся напакостить/привязываем ипы.

 

Share this post


Link to post
Share on other sites
а записи были только те, которые внесены вручную.

Статическая привязка

console(config)# ip source-guard binding
  H.H.H or H:H:H:H:H:H or H-H-H-H-H-H
                       MAC address

Когда устройство получит по дхцп другой адресс, на эту статическую привязку будет все равно...

Задача в том, что бы с одного порта не пропускать пакеты, если мак+ip не совпадают.

 

Поэтому на свитче mac-security на 4-8 мака, arp inspect, source guard; а вот уже на dhcp по 82 опции вылавливаем пытающихся напакостить/привязываем ипы.

Привязывать айпи к портам? Не подходит. Нужно решить проблему по другому. В сети работает дхцп, выдающий ай-пи по маку.

Share this post


Link to post
Share on other sites
Арп инспекшен работает по информации, взятой из базы данных привязки дхцп снуппинга. А в эту базу записи добавляются сами, если абонент получит айпи по дхцп. Т.е., если он себе подменит мак, он получит ай-пи по маку и инфа об этом маке+айпи сама добавится в базу привязки дхцп снуппинга (она же, соурс гуард биндинг база...) и будет работать. Задача в том, что бы база сама не обновлялась, или какой-то другой способ реализации привязки...
Как уже говорилось - вешайте статические привязки и не мучайтесь.

Выдавайте dhcp-ой абону одну и туже ip-шку и будет вам счастье.

в такой позе сейчас живут около 20К абонов на этих железках и не жалуются. DHCP берез из базы мак клиента и его ip, на портах статичные привязки. Если у клиента меняется мак - он звонит в саппорт и сообщает новый. Была идея уйти и от звонка в саппорт, путем гостевого влана... но руки не дошли.

Share this post


Link to post
Share on other sites
Выдавайте IP по порту свича.
Не подходит такой вариант.

 

 

Как уже говорилось - вешайте статические привязки и не мучайтесь.

Выдавайте dhcp-ой абону одну и туже ip-шку и будет вам счастье.

в такой позе сейчас живут около 20К абонов на этих железках и не жалуются. DHCP берез из базы мак клиента и его ip, на портах статичные привязки. Если у клиента меняется мак - он звонит в саппорт и сообщает новый. Была идея уйти и от звонка в саппорт, путем гостевого влана... но руки не дошли.

Я наверное не совсем корректно описал ситуацию. ДХЦП работает так как Вы сказали. По маку выдает одну и туже айпи, на один мак- одну и туже айпи. Если рассмотреть ситуацию: абонент подменяет мак другого абонента, по дхцп он получает айпи другого абонента, мак которого он подменил. В базу соурс гвард биндинга автоматически занесется запись с ай-пи и маком, который он подменил. Таким образом он сможет работать под чужим маком.

Задача именно в том, что бы если он подменит мак и получит ай-пи - оборудование его не выпускало с порта. Т.е. что бы выпускало только тот мак+айпи, который я укажу, и никаким образом другой не выпускало, независимо от того, что он получает или не получает по дхцп.

 

Можно с Вами связаться по icq или телефону? Скиньте свой, или напишите на 423678556, пожалуйста=)

Share this post


Link to post
Share on other sites

Много раз обсуждалось на форуме - оборудование должно поддерживать такой функционал.

IP Source Guard

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this