forum.opennet.ru - "6509-sup2/msfc2: проверка IP+MAC

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"6509-sup2/msfc2: проверка IP+MAC - как?"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"6509-sup2/msfc2: проверка IP+MAC - как?"
Сообщение от IVB on 18-Апр-07, 12:18
Как легко и просто это делалось в iptables... iptables -A FORWARD -p tcp -s 1.2.3.4 -m mac --mac-source 00:11:22:33:44:55 -j ACCEPT Подскажите, пожалуйста, возможно ли в Cisco IOS 12.1(26)E6 (ENTERPRISE W/VIP SSH 3DES) организовать аналогичную проверку? Мне нужно, чтобы через маршрутизатор проходили пакеты только при условии совпадения IP и MAC. Если IP и MAC не совпадают - пакеты проходить не должны. Я перерыл кучу документации - ничего похожего не нашел. Железо указано в загловке темы: Catalyst 6509, Supervisor 2U (PFC2/MSFC2)
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

6509-sup2/msfc2: проверка IP+MAC - как?, Nailer, 13:52 , 18-Апр-07, (1)

6509-sup2/msfc2: проверка IP+MAC - как?, IVB, 11:16 , 23-Апр-07, (2)

6509-sup2/msfc2: проверка IP+MAC - как?, Владимир, 08:41 , 24-Май-07, (3)

6509-sup2/msfc2: проверка IP+MAC - как?, Igor, 12:38 , 24-Май-07, (4)

Сообщения по теме [Сортировка по времени, UBB]

1. "6509-sup2/msfc2: проверка IP+MAC - как?"

Сообщение от Nailer (??) on 18-Апр-07, 13:52

>Как легко и просто это делалось в iptables...
>
>iptables -A FORWARD -p tcp -s 1.2.3.4 -m mac --mac-source 00:11:22:33:44:55 -j
>ACCEPT
>
>Подскажите, пожалуйста, возможно ли в Cisco IOS 12.1(26)E6 (ENTERPRISE W/VIP SSH 3DES)
>организовать аналогичную проверку?
>
>Мне нужно, чтобы через маршрутизатор проходили пакеты только при условии совпадения IP
>и MAC. Если IP и MAC не совпадают - пакеты проходить
>не должны.
>
>Я перерыл кучу документации - ничего похожего не нашел.
>
>Железо указано в загловке темы: Catalyst 6509, Supervisor 2U (PFC2/MSFC2)
IP Source Guard?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "6509-sup2/msfc2: проверка IP+MAC - как?"

Сообщение от IVB on 23-Апр-07, 11:16

>>Как легко и просто это делалось в iptables...
>>
>>iptables -A FORWARD -p tcp -s 1.2.3.4 -m mac --mac-source 00:11:22:33:44:55 -j
>>ACCEPT
>>
>>Подскажите, пожалуйста, возможно ли в Cisco IOS 12.1(26)E6 (ENTERPRISE W/VIP SSH 3DES)
>>организовать аналогичную проверку?
>>
>>Мне нужно, чтобы через маршрутизатор проходили пакеты только при условии совпадения IP
>>и MAC. Если IP и MAC не совпадают - пакеты проходить
>>не должны.
>>
>>Я перерыл кучу документации - ничего похожего не нашел.
>>
>>Железо указано в загловке темы: Catalyst 6509, Supervisor 2U (PFC2/MSFC2)
>
>IP Source Guard?
IP Source Guard (смотрел через Feature Navigator) доступно для CAT6000-SUP2 только в Hybrid mode (т.е. только для CatOS). У нас Циска в Native mode (один IOS на sup и на msfc).
Смотрел я и в сторону Dynamic ARP Inspection - эта функция доступна только для sup32 или sup720. У нас же sup2.
Неужели на нашем железе совсем ничего нельзя сделать? Ведь как-то же люди жили до выпуска sup32 и sup720...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "6509-sup2/msfc2: проверка IP+MAC - как?"

Сообщение от Владимир (??) on 24-Май-07, 08:41

>>>Как легко и просто это делалось в iptables...
>>>
>>>iptables -A FORWARD -p tcp -s 1.2.3.4 -m mac --mac-source 00:11:22:33:44:55 -j
>>>ACCEPT
>>>
>>>Подскажите, пожалуйста, возможно ли в Cisco IOS 12.1(26)E6 (ENTERPRISE W/VIP SSH 3DES)
>>>организовать аналогичную проверку?
>>>
>>>Мне нужно, чтобы через маршрутизатор проходили пакеты только при условии совпадения IP
>>>и MAC. Если IP и MAC не совпадают - пакеты проходить
>>>не должны.
>>>
>>>Я перерыл кучу документации - ничего похожего не нашел.
>>>
>>>Железо указано в загловке темы: Catalyst 6509, Supervisor 2U (PFC2/MSFC2)
>>
>>IP Source Guard?
>
>IP Source Guard (смотрел через Feature Navigator) доступно для CAT6000-SUP2 только в
>Hybrid mode (т.е. только для CatOS). У нас Циска в Native
>mode (один IOS на sup и на msfc).
>
>Смотрел я и в сторону Dynamic ARP Inspection - эта функция доступна
>только для sup32 или sup720. У нас же sup2.
>
>Неужели на нашем железе совсем ничего нельзя сделать? Ведь как-то же люди
>жили до выпуска sup32 и sup720...
А почему тогда вам не сделать такую вещь как поставить ДХЦП сервер, там указать резервацию ИП по Маку, а на 65 включить ip arp inspection vlan (что не даст использовать статику) и ip dhcp snooping vlan, а в самой конгфигурации влана указать хелперы на ДХЦП. Это тоже одно из решений данной проблемы.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "6509-sup2/msfc2: проверка IP+MAC - как?"

Сообщение от Igor (??) on 24-Май-07, 12:38

>>Смотрел я и в сторону Dynamic ARP Inspection - эта функция доступна
>>только для sup32 или sup720. У нас же sup2.
>>
>>Неужели на нашем железе совсем ничего нельзя сделать? Ведь как-то же люди
>>жили до выпуска sup32 и sup720...
>
>А почему тогда вам не сделать такую вещь как поставить ДХЦП сервер,
>там указать резервацию ИП по Маку, а на 65 включить
>ip arp inspection vlan (что не даст использовать статику)
У нас железо не подходит - для этого нужен sup32 или sup720.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "6509-sup2/msfc2: проверка IP+MAC - как?"
Сообщение от Nailer (??) on 18-Апр-07, 13:52
>Как легко и просто это делалось в iptables... > >iptables -A FORWARD -p tcp -s 1.2.3.4 -m mac --mac-source 00:11:22:33:44:55 -j >ACCEPT > >Подскажите, пожалуйста, возможно ли в Cisco IOS 12.1(26)E6 (ENTERPRISE W/VIP SSH 3DES) >организовать аналогичную проверку? > >Мне нужно, чтобы через маршрутизатор проходили пакеты только при условии совпадения IP >и MAC. Если IP и MAC не совпадают - пакеты проходить >не должны. > >Я перерыл кучу документации - ничего похожего не нашел. > >Железо указано в загловке темы: Catalyst 6509, Supervisor 2U (PFC2/MSFC2) IP Source Guard?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "6509-sup2/msfc2: проверка IP+MAC - как?"
	Сообщение от IVB on 23-Апр-07, 11:16
	>>Как легко и просто это делалось в iptables... >> >>iptables -A FORWARD -p tcp -s 1.2.3.4 -m mac --mac-source 00:11:22:33:44:55 -j >>ACCEPT >> >>Подскажите, пожалуйста, возможно ли в Cisco IOS 12.1(26)E6 (ENTERPRISE W/VIP SSH 3DES) >>организовать аналогичную проверку? >> >>Мне нужно, чтобы через маршрутизатор проходили пакеты только при условии совпадения IP >>и MAC. Если IP и MAC не совпадают - пакеты проходить >>не должны. >> >>Я перерыл кучу документации - ничего похожего не нашел. >> >>Железо указано в загловке темы: Catalyst 6509, Supervisor 2U (PFC2/MSFC2) > >IP Source Guard? IP Source Guard (смотрел через Feature Navigator) доступно для CAT6000-SUP2 только в Hybrid mode (т.е. только для CatOS). У нас Циска в Native mode (один IOS на sup и на msfc). Смотрел я и в сторону Dynamic ARP Inspection - эта функция доступна только для sup32 или sup720. У нас же sup2. Неужели на нашем железе совсем ничего нельзя сделать? Ведь как-то же люди жили до выпуска sup32 и sup720...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "6509-sup2/msfc2: проверка IP+MAC - как?"
	Сообщение от Владимир (??) on 24-Май-07, 08:41
	>>>Как легко и просто это делалось в iptables... >>> >>>iptables -A FORWARD -p tcp -s 1.2.3.4 -m mac --mac-source 00:11:22:33:44:55 -j >>>ACCEPT >>> >>>Подскажите, пожалуйста, возможно ли в Cisco IOS 12.1(26)E6 (ENTERPRISE W/VIP SSH 3DES) >>>организовать аналогичную проверку? >>> >>>Мне нужно, чтобы через маршрутизатор проходили пакеты только при условии совпадения IP >>>и MAC. Если IP и MAC не совпадают - пакеты проходить >>>не должны. >>> >>>Я перерыл кучу документации - ничего похожего не нашел. >>> >>>Железо указано в загловке темы: Catalyst 6509, Supervisor 2U (PFC2/MSFC2) >> >>IP Source Guard? > >IP Source Guard (смотрел через Feature Navigator) доступно для CAT6000-SUP2 только в >Hybrid mode (т.е. только для CatOS). У нас Циска в Native >mode (один IOS на sup и на msfc). > >Смотрел я и в сторону Dynamic ARP Inspection - эта функция доступна >только для sup32 или sup720. У нас же sup2. > >Неужели на нашем железе совсем ничего нельзя сделать? Ведь как-то же люди >жили до выпуска sup32 и sup720... А почему тогда вам не сделать такую вещь как поставить ДХЦП сервер, там указать резервацию ИП по Маку, а на 65 включить ip arp inspection vlan (что не даст использовать статику) и ip dhcp snooping vlan, а в самой конгфигурации влана указать хелперы на ДХЦП. Это тоже одно из решений данной проблемы.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "6509-sup2/msfc2: проверка IP+MAC - как?"
	Сообщение от Igor (??) on 24-Май-07, 12:38
	>>Смотрел я и в сторону Dynamic ARP Inspection - эта функция доступна >>только для sup32 или sup720. У нас же sup2. >> >>Неужели на нашем железе совсем ничего нельзя сделать? Ведь как-то же люди >>жили до выпуска sup32 и sup720... > >А почему тогда вам не сделать такую вещь как поставить ДХЦП сервер, >там указать резервацию ИП по Маку, а на 65 включить >ip arp inspection vlan (что не даст использовать статику) У нас железо не подходит - для этого нужен sup32 или sup720.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]