forum.opennet.ru - "2950 IP blocked" (4)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"2950 IP blocked"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"2950 IP blocked"
Сообщение от kir22 (ok) on 05-Мрт-07, 12:49
имеется cisco 2950, включенна функция dot1x с авторизацией на фрирадиусе, Необходимый влан выставляется, айпи по дхцп назначается, но есть проблема пользователь сам может сменить себе айпи на любой другой... как с этим боротся? если аналагичная фукция как в длинке IP-mac-BINDING?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

2950 IP blocked, Nailer, 09:05 , 06-Мрт-07, (1)
2950 IP blocked, vorch, 12:32 , 06-Мрт-07, (2)

2950 IP blocked, Ranger99, 14:22 , 06-Мрт-07, (3)

2950 IP blocked, kir22, 06:48 , 13-Мрт-07, (4)

Сообщения по теме [Сортировка по времени, UBB]

1. "2950 IP blocked"

Сообщение от Nailer (??) on 06-Мрт-07, 09:05

>имеется cisco 2950, включенна функция dot1x с авторизацией на фрирадиусе, Необходимый влан
>выставляется, айпи по дхцп назначается, но есть проблема пользователь сам может
>сменить себе айпи на любой другой... как с этим боротся? если
>аналагичная фукция как в длинке IP-mac-BINDING?
Попробуйте отдавать с радиуса acl на порт, в котором описывать нужный IP.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "2950 IP blocked"

Сообщение от vorch on 06-Мрт-07, 12:32

В 2950 такого функционала нет. Он есть в 2960 - там настравается специальная таблица, где прописывается в какой порт отдавался какой ip по dhcp, и соответственно только пакеты с таким ip ходят через этот порт. Если ваш 2950 поддерживает ACL на физических интерфесах, то используйте ACL. Оптимальный вариант - отдавать ACL через RADIUS, но я не помню, есть ли такой атрибут. В самом худшем случае придется вручную прописывать ACL на каждом порту (или попытаться это дело автоматизировать через rsh). Если ваша 2950 не поддерживает ACL - то вообще никак вы это не порешаете.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "2950 IP blocked"

Сообщение от Ranger99 (??) on 06-Мрт-07, 14:22

> В 2950 такого функционала нет.
Port-Based ACL есть в Enhanced Image для 2950, просто не все свитчи поддерживают. Вот выдержка из доки Cisco 2950 Configuration Guide 12.1(22)EA2:
Switches - Supported Image
Catalyst 2950-12 SI
Catalyst 2950-24 SI
Catalyst 2950C-24 EI
Catalyst 2950G-12-EI  EI
Catalyst 2950G-24-EI  EI
Catalyst 2950G-24-EI-DC EI
Catalyst 2950G-48-EI  EI
Catalyst 2950ST-8 LRE EI
Catalyst 2950ST-24 LRE EI
Catalyst 2950ST-24 LRE 997 EI
Catalyst 2950SX-24 SI
Catalyst 2950SX-48-SI SI
Catalyst 2950T-24 EI
Catalyst 2950T-48-SI SI
Catalyst 2955C-12 EI
Catalyst 2955S-12 EI
Catalyst 2955T-12 EI
У меня все 2950-ые это 2950-24, поэтому для защиты от IP Spoofingа пришлось брать 2960. Было бы интересно услышать от кого-нибудь с более продвинутым 2950-ым как он дружит с EI.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "2950 IP blocked"

Сообщение от kir22 (ok) on 13-Мрт-07, 06:48

>> В 2950 такого функционала нет.
>
>Port-Based ACL есть в Enhanced Image для 2950, просто не все свитчи
>поддерживают. Вот выдержка из доки Cisco 2950 Configuration Guide 12.1(22)EA2:
>Switches - Supported Image
>Catalyst 2950-12 SI
>Catalyst 2950-24 SI
>Catalyst 2950C-24 EI
>Catalyst 2950G-12-EI  EI
>Catalyst 2950G-24-EI  EI
>Catalyst 2950G-24-EI-DC EI
>Catalyst 2950G-48-EI  EI
>Catalyst 2950ST-8 LRE EI
>Catalyst 2950ST-24 LRE EI
>Catalyst 2950ST-24 LRE 997 EI
>Catalyst 2950SX-24 SI
>Catalyst 2950SX-48-SI SI
>Catalyst 2950T-24 EI
>Catalyst 2950T-48-SI SI
>Catalyst 2955C-12 EI
>Catalyst 2955S-12 EI
>Catalyst 2955T-12 EI
>
>У меня все 2950-ые это 2950-24, поэтому для защиты от IP Spoofingа
>пришлось брать 2960. Было бы интересно услышать от кого-нибудь с более
>продвинутым 2950-ым как он дружит с EI.
Решилось включением порт-секюрити на один адресс АРП, и статичной привязкой Айпи к маку на Маршрутизаторе.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "2950 IP blocked"
Сообщение от Nailer (??) on 06-Мрт-07, 09:05
>имеется cisco 2950, включенна функция dot1x с авторизацией на фрирадиусе, Необходимый влан >выставляется, айпи по дхцп назначается, но есть проблема пользователь сам может >сменить себе айпи на любой другой... как с этим боротся? если >аналагичная фукция как в длинке IP-mac-BINDING? Попробуйте отдавать с радиуса acl на порт, в котором описывать нужный IP.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "2950 IP blocked"
Сообщение от vorch on 06-Мрт-07, 12:32
В 2950 такого функционала нет. Он есть в 2960 - там настравается специальная таблица, где прописывается в какой порт отдавался какой ip по dhcp, и соответственно только пакеты с таким ip ходят через этот порт. Если ваш 2950 поддерживает ACL на физических интерфесах, то используйте ACL. Оптимальный вариант - отдавать ACL через RADIUS, но я не помню, есть ли такой атрибут. В самом худшем случае придется вручную прописывать ACL на каждом порту (или попытаться это дело автоматизировать через rsh). Если ваша 2950 не поддерживает ACL - то вообще никак вы это не порешаете.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "2950 IP blocked"
	Сообщение от Ranger99 (??) on 06-Мрт-07, 14:22
	> В 2950 такого функционала нет. Port-Based ACL есть в Enhanced Image для 2950, просто не все свитчи поддерживают. Вот выдержка из доки Cisco 2950 Configuration Guide 12.1(22)EA2: Switches - Supported Image Catalyst 2950-12 SI Catalyst 2950-24 SI Catalyst 2950C-24 EI Catalyst 2950G-12-EI EI Catalyst 2950G-24-EI EI Catalyst 2950G-24-EI-DC EI Catalyst 2950G-48-EI EI Catalyst 2950ST-8 LRE EI Catalyst 2950ST-24 LRE EI Catalyst 2950ST-24 LRE 997 EI Catalyst 2950SX-24 SI Catalyst 2950SX-48-SI SI Catalyst 2950T-24 EI Catalyst 2950T-48-SI SI Catalyst 2955C-12 EI Catalyst 2955S-12 EI Catalyst 2955T-12 EI У меня все 2950-ые это 2950-24, поэтому для защиты от IP Spoofingа пришлось брать 2960. Было бы интересно услышать от кого-нибудь с более продвинутым 2950-ым как он дружит с EI.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "2950 IP blocked"
	Сообщение от kir22 (ok) on 13-Мрт-07, 06:48
	>> В 2950 такого функционала нет. > >Port-Based ACL есть в Enhanced Image для 2950, просто не все свитчи >поддерживают. Вот выдержка из доки Cisco 2950 Configuration Guide 12.1(22)EA2: >Switches - Supported Image >Catalyst 2950-12 SI >Catalyst 2950-24 SI >Catalyst 2950C-24 EI >Catalyst 2950G-12-EI EI >Catalyst 2950G-24-EI EI >Catalyst 2950G-24-EI-DC EI >Catalyst 2950G-48-EI EI >Catalyst 2950ST-8 LRE EI >Catalyst 2950ST-24 LRE EI >Catalyst 2950ST-24 LRE 997 EI >Catalyst 2950SX-24 SI >Catalyst 2950SX-48-SI SI >Catalyst 2950T-24 EI >Catalyst 2950T-48-SI SI >Catalyst 2955C-12 EI >Catalyst 2955S-12 EI >Catalyst 2955T-12 EI > >У меня все 2950-ые это 2950-24, поэтому для защиты от IP Spoofingа >пришлось брать 2960. Было бы интересно услышать от кого-нибудь с более >продвинутым 2950-ым как он дружит с EI. Решилось включением порт-секюрити на один адресс АРП, и статичной привязкой Айпи к маку на Маршрутизаторе.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]