The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"6509-sup2/msfc2: проверка IP+MAC - как?"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"6509-sup2/msfc2: проверка IP+MAC - как?"  
Сообщение от IVB email on 18-Апр-07, 12:18 
Как легко и просто это делалось в iptables...

iptables -A FORWARD -p tcp -s 1.2.3.4 -m mac --mac-source 00:11:22:33:44:55 -j ACCEPT

Подскажите, пожалуйста, возможно ли в Cisco IOS 12.1(26)E6 (ENTERPRISE W/VIP SSH 3DES) организовать аналогичную проверку?

Мне нужно, чтобы через маршрутизатор проходили пакеты только при условии совпадения IP и MAC. Если IP и MAC не совпадают - пакеты проходить не должны.

Я перерыл кучу документации - ничего похожего не нашел.

Железо указано в загловке темы: Catalyst 6509, Supervisor 2U (PFC2/MSFC2)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "6509-sup2/msfc2: проверка IP+MAC - как?"  
Сообщение от Nailer (??) on 18-Апр-07, 13:52 
>Как легко и просто это делалось в iptables...
>
>iptables -A FORWARD -p tcp -s 1.2.3.4 -m mac --mac-source 00:11:22:33:44:55 -j
>ACCEPT
>
>Подскажите, пожалуйста, возможно ли в Cisco IOS 12.1(26)E6 (ENTERPRISE W/VIP SSH 3DES)
>организовать аналогичную проверку?
>
>Мне нужно, чтобы через маршрутизатор проходили пакеты только при условии совпадения IP
>и MAC. Если IP и MAC не совпадают - пакеты проходить
>не должны.
>
>Я перерыл кучу документации - ничего похожего не нашел.
>
>Железо указано в загловке темы: Catalyst 6509, Supervisor 2U (PFC2/MSFC2)

IP Source Guard?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "6509-sup2/msfc2: проверка IP+MAC - как?"  
Сообщение от IVB email on 23-Апр-07, 11:16 
>>Как легко и просто это делалось в iptables...
>>
>>iptables -A FORWARD -p tcp -s 1.2.3.4 -m mac --mac-source 00:11:22:33:44:55 -j
>>ACCEPT
>>
>>Подскажите, пожалуйста, возможно ли в Cisco IOS 12.1(26)E6 (ENTERPRISE W/VIP SSH 3DES)
>>организовать аналогичную проверку?
>>
>>Мне нужно, чтобы через маршрутизатор проходили пакеты только при условии совпадения IP
>>и MAC. Если IP и MAC не совпадают - пакеты проходить
>>не должны.
>>
>>Я перерыл кучу документации - ничего похожего не нашел.
>>
>>Железо указано в загловке темы: Catalyst 6509, Supervisor 2U (PFC2/MSFC2)
>
>IP Source Guard?

IP Source Guard (смотрел через Feature Navigator) доступно для CAT6000-SUP2 только в Hybrid mode (т.е. только для CatOS). У нас Циска в Native mode (один IOS на sup и на msfc).

Смотрел я и в сторону Dynamic ARP Inspection - эта функция доступна только для sup32 или sup720. У нас же sup2.

Неужели на нашем железе совсем ничего нельзя сделать? Ведь как-то же люди жили до выпуска sup32 и sup720...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "6509-sup2/msfc2: проверка IP+MAC - как?"  
Сообщение от Владимир email(??) on 24-Май-07, 08:41 
>>>Как легко и просто это делалось в iptables...
>>>
>>>iptables -A FORWARD -p tcp -s 1.2.3.4 -m mac --mac-source 00:11:22:33:44:55 -j
>>>ACCEPT
>>>
>>>Подскажите, пожалуйста, возможно ли в Cisco IOS 12.1(26)E6 (ENTERPRISE W/VIP SSH 3DES)
>>>организовать аналогичную проверку?
>>>
>>>Мне нужно, чтобы через маршрутизатор проходили пакеты только при условии совпадения IP
>>>и MAC. Если IP и MAC не совпадают - пакеты проходить
>>>не должны.
>>>
>>>Я перерыл кучу документации - ничего похожего не нашел.
>>>
>>>Железо указано в загловке темы: Catalyst 6509, Supervisor 2U (PFC2/MSFC2)
>>
>>IP Source Guard?
>
>IP Source Guard (смотрел через Feature Navigator) доступно для CAT6000-SUP2 только в
>Hybrid mode (т.е. только для CatOS). У нас Циска в Native
>mode (один IOS на sup и на msfc).
>
>Смотрел я и в сторону Dynamic ARP Inspection - эта функция доступна
>только для sup32 или sup720. У нас же sup2.
>
>Неужели на нашем железе совсем ничего нельзя сделать? Ведь как-то же люди
>жили до выпуска sup32 и sup720...

А почему тогда вам не сделать такую вещь как поставить ДХЦП сервер, там указать резервацию  ИП по Маку, а на 65 включить ip arp inspection vlan (что не даст использовать статику) и ip dhcp snooping vlan, а в самой конгфигурации влана указать хелперы на ДХЦП. Это тоже одно из решений данной  проблемы.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "6509-sup2/msfc2: проверка IP+MAC - как?"  
Сообщение от Igor email(??) on 24-Май-07, 12:38 
>>Смотрел я и в сторону Dynamic ARP Inspection - эта функция доступна
>>только для sup32 или sup720. У нас же sup2.
>>
>>Неужели на нашем железе совсем ничего нельзя сделать? Ведь как-то же люди
>>жили до выпуска sup32 и sup720...
>
>А почему тогда вам не сделать такую вещь как поставить ДХЦП сервер,
>там указать резервацию  ИП по Маку, а на 65 включить
>ip arp inspection vlan (что не даст использовать статику)

У нас железо не подходит - для этого нужен sup32 или sup720.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру