1

Тема: Выдача IP адресов по MAC

У меня маленький вопрос.
Как ограничить пользователей, сервера которых напрямую получают Ethernet от свитча Cisco Catalyst 3548 XL, по MAC адресу сетевого адаптера на сервере. Для того чтобы они не могли воровать адреса чужие. Тоесть для определенного MAC адреса, выдача определенных IP.

Спасибо за любые наставления!

Александр

2

Re: Выдача IP адресов по MAC

На этом железе врядли получится. Это надо делать на маршрутизаторе, то есть на уровне выше.

3

Re: Выдача IP адресов по MAC

К примеру на 2611 это получится сделать?

4

Re: Выдача IP адресов по MAC

должно, надо пробовать

5

Re: Выдача IP адресов по MAC

если есть другея машина винда или бздя могу сказать как делается... все просто... Но суть в том что мак поменять очень просто. В винде буквально в 3 нажатия мышки...

6

Re: Выдача IP адресов по MAC

Еще помоему можно с помощью tacacs или radius, отдавать айпи в зависимости от mac.
SatanaClause
mac менять можно, но если два мака в одной сети, то может быть глюк. Александр хочет сделать привязку айпи к маку.

7

Re: Выдача IP адресов по MAC

Alan, у нас железяки , а не БСД smile
Нам надо чтобы юзеру выдался только IP данный ему в соответствии с MAC его сетевой. Пусть он там хоть весь сервер поменяет, но если сменится MAC сетевухи, то IP не видать ему как своих ушей. Такой смысл smile
Именно чтобы не таскали чужие IP/

8

Re: Выдача IP адресов по MAC

Alexander
я тебе про что и говорю, 100% гарантия будет тока с программой, если выдавать ип по маку то скомуниздить чужой ип как два пальца ... А если ставить на комп программу, которая конфигурирует сеть и она под паролем (знаю точно что такая есть, но невидел сам) то тогда уже не так все просто, даже из под админа. Вообще в винде очень просто меня мак адреса... это в бсд надо подумать как еще ето сделать... Вот смотри сам

9

Re: Выдача IP адресов по MAC

SatanaClause
можно сменить мак, но тогда будет два мака с одним айпи)). И пахать не будет, а за это потом по шее давать кто менял)

10

Re: Выдача IP адресов по MAC

кстати есть такая фишка, как port security, с помощью которой можно указать какой мас адрес должен быть на этом порту. И если сменить мак адрес сетевой карты, то просто сет отрубится и все.

11

Re: Выдача IP адресов по MAC

crash
А вот отсюда поподробнее, про порт секурити это мне актуально. smile

12

Re: Выдача IP адресов по MAC

SatanaClause
на cisco можно на порту прописать портсекьюрити и какой мак адрес на этом порту должен быть. Можно прописать несколько адресов. Точные команды могу в понедельник попробовать дать). Я так не помню уже, на работе попробую сделать)

Добавлено спустя     23 минуты   26 секунд:
приблизительно такие команды

Switch(config)# interface fastethernet x/y
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security violation shutdown
Switch(config-if)# switchport port-security maximum value
Switch(config-if)# switchport port-security mac-address 1000.2000.3000
Switch(config-if)# end

Теперь если разобрать по строкам, то получаем:
1. заходим в конфигурирование интерфейса
2. включаем access режим, если в интерфейс включен комп, то там по любому будет этот режим).
3. включаем порт секьюрити
4. говорим что если мак адрес не наш то шутдаун интерфейса
5. value=1...1024  сколько mac адресов можно подключить к интерфейсу, то есть можно будет указать потом несколько мак адресов, которые могут быть на этом порту. Хотя я не знаю когда это необходимо, только если дальше идет концентратор.
6. указываем mac адрес, который может быть подключен на этот интерфейс
7. выходим из конфигурирования интерфейса

13

Re: Выдача IP адресов по MAC

На 3550 SMI проходит.

Switch(config)#int fa0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security violation shutdown
Switch(config-if)#switchport port-security maximum value
                                                   ^
% Invalid input detected at '^' marker.
Switch(config-if)#switchport port-security maximum ?
  <1-5120>  Maximum addresses
Switch(config-if)#switchport port-security maximum 5
Switch(config-if)#switchport port-security ?
  aging        Port-security aging commands
  mac-address  Secure mac address
  maximum      Max secure addresses
  violation    Security violation mode
  <cr>
Switch(config-if)#switchport port-security mac-address 1000.2000.3000
Switch(config-if)#end
Switch#
01:04:14: %SYS-5-CONFIG_I: Configured from console by console

14

Re: Выдача IP адресов по MAC

Alexander пишет:

switchport port-security maximum value

я потом написал что value=1...1024, то ест такого слова писать не надо. А кол-во видимо зависит от самого железа.

15

Re: Выдача IP адресов по MAC

crash, напомни как на порт вешать MAC с указанным IP.

16

Re: Выдача IP адресов по MAC

если памят не изменяет, то с помощью mac-address-table

17

Re: Выдача IP адресов по MAC

Нашел.

Switch(config)#mac-address-table static  0016.76d5.b858 vlan 1 interface fa0/2
Switch(config)#arp ip mac arpa

Добавлено спустя     23 минуты   56 секунд:

crash пишет:

я потом написал что value=1...1024, то ест такого слова писать не надо. А кол-во видимо зависит от самого железа.

Я сначала вбил комманду, потом только уже прочитал что ты написал smile

18

Re: Выдача IP адресов по MAC

Добрый день.

есть Cisco 3550 SMI
Cisco Internetwork Operating System Software
IOS (tm) C3550 Software (C3550-I9Q3L2-M), Version 12.1(22)EA1a, RELEASE SOFTWARE
(fc1)

Есть сеть в которой нужно обеспечить безопасность, тоесть чтобы клиенты не воровали IP.

Вот что пробовал сделать:
1 Заходим в настройки порта и ставим port-security для того чтобы не возможно было сменить MAC

Switch(config)#int fa0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security violation shutdown
Switch(config-if)#switchport port-security maximum value 1
Switch(config-if)#end

Далее прописываю IP и MAC в таблице:
Switch(config)#arp 192.168.1.8 0019.d1a1.61fe ARPA

Кажется все. Но при попытке в БСД к примеру, добавить новый IP
#ifconfig re0 192.168.1.9 alias
тот адрес беспрепятственно добавляется и его можно использовать.

Что не так?
Спасибо!