[Ice_man]

Есть linksys SPS224G4, на котором необходимо осуществить привязку MAC+IP для каждого порта. В сети работает dhcp, который выдает настройки в любом месте... Т.к. включен дхцп снуппинг, который необходим для соурс гуарда, если абонент подменит мак и получит ай-пи, она вместе с маком сама добавляется в таблицу дхца снуппинг биндинга. Таким образом получается, что привязка не будет реализирована. Подскажите, как поставить ограничение на количество записей для каждого порта в этой таблице, либо же что бы она вообще не изменялась автоматически, а записи были только те, которые внесены вручную.

Либо же подскажите другой способ реализации привязок.

P.S. Я не прошу дать набор команд, а подсказать или сказать, возможно ли такое вообще на этой железке.

Спасибо.

[Zmey_skif]

IP Source Guard

ip arp inspection

[Ice_man]

Арп инспекшен работает по информации, взятой из базы данных привязки дхцп снуппинга. А в эту базу записи добавляются сами, если абонент получит айпи по дхцп. Т.е., если он себе подменит мак, он получит ай-пи по маку и инфа об этом маке+айпи сама добавится в базу привязки дхцп снуппинга (она же, соурс гуард биндинг база...) и будет работать. Задача в том, что бы база сама не обновлялась, или какой-то другой способ реализации привязки...

[Elisium]

а записи были только те, которые внесены вручную.

Статическая привязка

console(config)# ip source-guard binding
  H.H.H or H:H:H:H:H:H or H-H-H-H-H-H
                       MAC address

[Дегтярев Илья]

если он себе подменит мак...что бы база сама не обновлялась

Как тут уже упоминали, хреновый тот провайдер, кто упоминает при юзере слово МАК-адрес.

Не надо смотреть на маки в пакетах. Так, проверять, чтоб не забивали ткамы/не ставили чужие/шлюза/не создавали петли.

 

Поэтому на свитче mac-security на 4-8 мака, arp inspect, source guard; а вот уже на dhcp по 82 опции вылавливаем пытающихся напакостить/привязываем ипы.

 

[Ice_man]

а записи были только те, которые внесены вручную.

Статическая привязка

console(config)# ip source-guard binding
  H.H.H or H:H:H:H:H:H or H-H-H-H-H-H
                       MAC address

Когда устройство получит по дхцп другой адресс, на эту статическую привязку будет все равно...

Задача в том, что бы с одного порта не пропускать пакеты, если мак+ip не совпадают.

 

Поэтому на свитче mac-security на 4-8 мака, arp inspect, source guard; а вот уже на dhcp по 82 опции вылавливаем пытающихся напакостить/привязываем ипы.

Привязывать айпи к портам? Не подходит. Нужно решить проблему по другому. В сети работает дхцп, выдающий ай-пи по маку.

[terrible]

Выдавайте IP по порту свича.

[Zmey_skif]

Арп инспекшен работает по информации, взятой из базы данных привязки дхцп снуппинга. А в эту базу записи добавляются сами, если абонент получит айпи по дхцп. Т.е., если он себе подменит мак, он получит ай-пи по маку и инфа об этом маке+айпи сама добавится в базу привязки дхцп снуппинга (она же, соурс гуард биндинг база...) и будет работать. Задача в том, что бы база сама не обновлялась, или какой-то другой способ реализации привязки...

Как уже говорилось - вешайте статические привязки и не мучайтесь.

Выдавайте dhcp-ой абону одну и туже ip-шку и будет вам счастье.

в такой позе сейчас живут около 20К абонов на этих железках и не жалуются. DHCP берез из базы мак клиента и его ip, на портах статичные привязки. Если у клиента меняется мак - он звонит в саппорт и сообщает новый. Была идея уйти и от звонка в саппорт, путем гостевого влана... но руки не дошли.

[Ice_man]

Выдавайте IP по порту свича.

Не подходит такой вариант.

 

 

Как уже говорилось - вешайте статические привязки и не мучайтесь.

Выдавайте dhcp-ой абону одну и туже ip-шку и будет вам счастье.

в такой позе сейчас живут около 20К абонов на этих железках и не жалуются. DHCP берез из базы мак клиента и его ip, на портах статичные привязки. Если у клиента меняется мак - он звонит в саппорт и сообщает новый. Была идея уйти и от звонка в саппорт, путем гостевого влана... но руки не дошли.

Я наверное не совсем корректно описал ситуацию. ДХЦП работает так как Вы сказали. По маку выдает одну и туже айпи, на один мак- одну и туже айпи. Если рассмотреть ситуацию: абонент подменяет мак другого абонента, по дхцп он получает айпи другого абонента, мак которого он подменил. В базу соурс гвард биндинга автоматически занесется запись с ай-пи и маком, который он подменил. Таким образом он сможет работать под чужим маком.

Задача именно в том, что бы если он подменит мак и получит ай-пи - оборудование его не выпускало с порта. Т.е. что бы выпускало только тот мак+айпи, который я укажу, и никаким образом другой не выпускало, независимо от того, что он получает или не получает по дхцп.

 

Можно с Вами связаться по icq или телефону? Скиньте свой, или напишите на 423678556, пожалуйста=)

[Ivan_83]

Много раз обсуждалось на форуме - оборудование должно поддерживать такой функционал.

IP Source Guard