Folder Опубликовано 17 апреля, 2010 · Жалоба Добрый день, недавно попался в мои руки коммутатор Alcatel OmniStack LS 6224, нужно его минимально настроить. Требуется статический привязать по несколько IP на каждый порт и закрыть работу некоторых служб типа netbios, dhcp и.т.д. Мне кажется, что подобные правила должны разрешить работу на порту e1 IP-адреса 192.168.9.2 и 192.168.9.15, но на практике порт совсем не чего не пропускает. ip access-list ip-acl1 permit ip 192.168.9.2 255.255.255.255 any permit ip 192.168.9.15 255.255.255.255 any exit interface ethernet 2/e1 service-acl input ip-acl1 И еще, если есть у этого коммутатора возможность просмотра списка multicast групп, которые в данный момент им удерживаются (альтернатива дринковскому show igmp group)? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Folder Опубликовано 21 апреля, 2010 · Жалоба Немного по-мучаясь, таки сделал, что хотел и так как хотел, включил qos advanced и все заработало. Вышло что-то вроде этого: interface range ethernet 2/e(1-3),2/g1 port storm-control broadcast enable exit interface vlan 1 ip igmp snooping exit interface vlan 1 ip address 192.168.9.50 255.255.255.0 exit ip default-gateway 192.168.9.1 qos advanced ip access-list ip-acl1 permit any 192.168.9.2 0.0.0.0 any permit any 192.168.9.5 0.0.0.0 any exit ip access-list ip-acl2 permit any 192.168.9.43 0.0.0.0 any exit ip access-list ip-acl3 permit any 192.168.9.10 0.0.0.0 any exit interface ethernet 2/e1 service-acl input ip-acl1 exit interface ethernet 2/e2 service-acl input ip-acl2 exit interface ethernet 2/e3 service-acl input ip-acl3 exit username admin password f47a1bf8586b29bff884e6200c5d5de9 level 15 encrypted ip ssh server Вопрос по multicast остается в силе. До сих пор мне не понятно как можно посмотреть igmp groups на которые подписался коммутатор? Команда show ip igmp snooping groups не чего не выводит! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
telephonist Опубликовано 4 мая, 2010 · Жалоба Вопрос в тему! Купили таких 11 in и теперь нужно настроить привязку IP+MAC как это сделать? Аксес листы позволяют привязывать или по маку или по IP. На Длинках 3526 делаем IP+MAC без проблем! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Nikitin Опубликовано 4 мая, 2010 (изменено) · Жалоба Вопрос в тему! Купили таких 11 in и теперь нужно настроить привязку IP+MAC как это сделать? Аксес листы позволяют привязывать или по маку или по IP. На Длинках 3526 делаем IP+MAC без проблем! DHCP snooping + ARP Inspection + Source Guard + Option 82 не катит ? З.Ы. Вроде как можно статически это в Source Guard'е сделать, например вот так: ip source-guard binding 00:16:d3:e3:bc:cf 23 192.168.1.1 ethernet e3 Изменено 4 мая, 2010 пользователем Ilya Nikitin Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
telephonist Опубликовано 4 мая, 2010 · Жалоба Вопрос в тему! Купили таких 11 in и теперь нужно настроить привязку IP+MAC как это сделать? Аксес листы позволяют привязывать или по маку или по IP. На Длинках 3526 делаем IP+MAC без проблем! DHCP snooping + ARP Inspection + Source Guard + Option 82 не катит ? З.Ы. Вроде как можно статически это в Source Guard'е сделать, например вот так: ip source-guard binding 00:16:d3:e3:bc:cf 23 192.168.1.1 ethernet e3 DHCP не используем, а вот Source Guard пропускал трафик, если я специально ставил в биндинг неправильный мак, но правильный IP. Правда сейчас прошивку 23 поставил, может что поменялось - проверю, отпишусь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
telephonist Опубликовано 6 мая, 2010 (изменено) · Жалоба Вопрос в тему! Купили таких 11 in и теперь нужно настроить привязку IP+MAC как это сделать? Аксес листы позволяют привязывать или по маку или по IP. На Длинках 3526 делаем IP+MAC без проблем! DHCP snooping + ARP Inspection + Source Guard + Option 82 не катит ? З.Ы. Вроде как можно статически это в Source Guard'е сделать, например вот так: ip source-guard binding 00:16:d3:e3:bc:cf 23 192.168.1.1 ethernet e3 Пытаюсь сделать вот так ip source-guard binding 00:18:f3:a2:d3:8f 1 192.168.0.106 ethernet e19 interface ethernet e19 ip source-guard exit После этого пишет такое # show ip source-guard inactive TCAM resources search frequency: 1 minutes Interface Filter IP address MAC address VLAN Type Reason --------- ------ --------------- ----------------- ---- ------ --------------- e2 IP No snooping VLAN e3 IP No snooping VLAN e19 IP 192.168.0.106 00:18:f3:a2:d3:8f 1 Static No SnoopingVlan # # show ip source-guard status IP Source Guard: Enabled Interface Filter Status IP address MAC address VLAN Type --------- ------ -------- --------------- ----------------- ---- ------ e2 IP inactive e3 IP inactive e19 IP inactive 192.168.0.106 00:18:f3:a2:d3:8f 1 Static # # show ip source-guard configuration IP Source Guard is Enabled Interface State ----------- ---------- e2 Enabled e3 Enabled e19 Enabled # Я хочу статически привязывать IP + MAC у меня не будет DHCP. Подскажите как его добить ??? Изменено 6 мая, 2010 пользователем telephonist Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
telephonist Опубликовано 7 мая, 2010 · Жалоба Включить удалось. Таким вот макаром. Ему, оказывается чтобы он активировался нужно чтобы dhcp снупинг был влючен глобально и для конкретного вилана. configure ip source-guard ip dhcp snooping ip dhcp snooping vlan 1 interface range ethernet e(1-24) ip source-guard exit ip source-guard binding 00:18:f3:a2:d3:8f 1 192.168.0.106 ethernet e21 Теперь принты такие: # sh ip source-guard status IP Source Guard: Enabled Interface Filter Status IP address MAC address VLAN Type --------- ------ -------- --------------- ----------------- ---- ------ e1 IP active Deny All e2 IP inactive e3 IP inactive e4 IP active Deny All e5 IP active Deny All e6 IP active Deny All e7 IP active Deny All e8 IP active Deny All e9 IP active Deny All e10 IP active Deny All e11 IP active Deny All e12 IP inactive e13 IP inactive e14 IP active Deny All e15 IP active Deny All e16 IP active Deny All e17 IP active Deny All e18 IP active Deny All e19 IP active Deny All e20 IP active Deny All e21 IP active 192.168.0.106 00:18:f3:a2:d3:8f 1 Static e22 IP active Deny All e23 IP active Deny All e24 IP active Deny All Работает так: Если IP приходит правильный - пропускает, причем мак пофигу. Если IP приходит неправильный - не пропускает. Хотя в мануалах пишут IP+MAC!!! # sh version SW version 1.7.0.23 ( date 30-Sep-2009 time 09:51:50 ) Boot version 1.0.0.12 ( date 19-Oct-2006 time 09:07:37 ) HW version 00.00.01 # Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...