 Запрет установки статических ip адресов.,  turpanov.a, 14-Авг-12, 05:47 [смотреть все]Доброго времени суток!
Подскажите, если кто в курсе.
В сети адреса раздаются с помощью dhcp сервера, однако некоторые пользователи умудряются назначать себе статические адреса, вызывая тем самым конфликты адресов.
Компов достаточно много, поэтому писать acl на свитчах - не самое красивое решение, да и не самое удобное.
В качестве access свитчей у нас стоят hp procurve 2626.
Хотел применить функцию dynamic ip lockdown, которая на основании записей из dhcp-snooping bindings пропускает или не пропускает весь ip трафик. Настроил dhcp-snooping, подождал пару дней, пока заполнится таблица, включил lockdown на одном интерфейсе и начал тестировать. Включил в порт комп, дал ему адрес из нужной подсетки и результата никакого, трафик как ходил так и ходит.
Перечитал несколько раз документацию, все условия функционирования соблюдены. Уже не знаю в чем дело. Может быть это функция не корректно реализована в hewllet-packard'е? Надо заметить, что все то же самое пытался реализовать на cisco (функция ip source guard) и все отрабатывалось как нужно. Весь трафик закрывается. А с HP не могу справиться. Кто-нибудь может что-то подсказать?
|
- Запрет установки статических ip адресов., crash, 07:05 , 14-Авг-12 (1)
настроить в сети AD и запретить пользователям изменять сетевые настройки
- Запрет установки статических ip адресов., turpanov.a, 08:38 , 14-Авг-12 (2)
> настроить в сети AD и запретить пользователям изменять сетевые настройки это да, только еще есть принтеры, на которые особо не залогиниться под учетной записью.
- Запрет установки статических ip адресов., eek, 08:42 , 14-Авг-12 (3)
>> настроить в сети AD и запретить
>> пользователям изменять сетевые настройки
> это да, только еще есть принтеры,
> на которые особо не залогиниться под
> учетной записью.А адреса на сетевом оборудовании у вас тоже пользователи меняют?
- Запрет установки статических ip адресов., turpanov.a, 08:47 , 14-Авг-12 (4)
>>> настроить в сети AD и запретить
>>> пользователям изменять сетевые настройки
>> это да, только еще есть принтеры,
>> на которые особо не залогиниться под
>> учетной записью.
> А адреса на сетевом оборудовании у вас тоже пользователи меняют?нет конечно. Пользователи в своем vlan сидят.
- Запрет установки статических ip адресов., crash, 07:37 , 16-Авг-12 (5)
>> настроить в сети AD и запретить пользователям изменять сетевые настройки
> это да, только еще есть принтеры, на которые особо не залогиниться под
> учетной записью.принтеры вынести в отдельный vlan. На самом деле я не понял при чем тут принтеры.
- Запрет установки статических ip адресов., turpanov.a, 10:01 , 16-Авг-12 (6)
>>> настроить в сети AD и запретить пользователям изменять сетевые настройки
>> это да, только еще есть принтеры, на которые особо не залогиниться под
>> учетной записью.
> принтеры вынести в отдельный vlan. На самом деле я не понял при
> чем тут принтеры.Сетевые принтеры, на которых иногда сами пользователи зачем-то выставляют ручками адреса, которые уже выданы с помощью dhcp другим устройствам в сети. Начинаются конфликты.
Спасибо большое за ответы, но меня больше интересует именно возможность реализации функции dynamic ip lockdown на hp procurve. Т.е. работает она корректно у этого вендора или же нет?
- Запрет установки статических ip адресов., mrak, 13:43 , 22-Авг-12 (7)
> В качестве access свитчей у нас стоят hp procurve 2626.
> Хотел применить функцию dynamic ip lockdown, которая на основании записей из dhcp-snooping
> Кто-нибудь может что-то подсказать?show ip source-lockdown status
show ip source-lockdown bindings
debug dynamic-ip-lockdown
- Запрет установки статических ip адресов., turpanov.a, 06:21 , 23-Авг-12 (8)
>> В качестве access свитчей у нас стоят hp procurve 2626.
>> Хотел применить функцию dynamic ip lockdown, которая на основании записей из dhcp-snooping
>> Кто-нибудь может что-то подсказать?
> show ip source-lockdown status
> show ip source-lockdown bindings
> debug dynamic-ip-lockdown Активировал на одном порту (eth 23) switch# sh ip source-lockdown status Dynamic IP Lockdown Status Information Global State : Disabled Port Operational State
---- --------------------
21 Disabled
22 Disabled
23 Active
24 Disabled
25 Disabled
26 Disabled Включен только на одном порту.
switch# sh ip source-lockdown bindings
Dynamic IP Lockdown Bindings Port IP Address Vlan Mac Address Not in HW
---- ------------------ ---- ------------------- ---------
23 10.1.2.3 200 88f3e9-576b61 YES
23 10.1.2.5 200 00a4f3-2601bf YES
23 87.14.240.10 240 984be1-34f394 YES
23 87.14.240.15 240 034063-f96a31 YES
23 87.14.240.20 240 0c1e8c-1a9f3c YES
23 87.14.240.25 240 1c6465-f8de2e YES switch# debug dynamic-ip-lockdown
вообще никаких сообщений, при этом спокойно выхожу в инет.. Вручную на компе прописываю адрес, которого нет в source-lockdown bindings
- Запрет установки статических ip адресов., turpanov.a, 11:18 , 23-Авг-12 (9)
Задачу решил с помощью DAI, однако почему не работала функция ip source-lockdown так и не понятно
- Запрет установки статических ip адресов., universite, 17:01 , 23-Авг-12 (10)
> Задачу решил с помощью DAI, однако почему не работала функция ip source-lockdown
> так и не понятно обратитесь в суппорт HP :)
|
Версия для распечатки
