Добрый день
Есть коммутаторы MES2124MB цель блокировать пользователей статически прописайшие IP адресса.
IP адресса выдаються по DHCP
Часть конфига
MES2124MB
ip dhcp snooping ====== включен глобально
ip dhcp snooping vlan 1 ====== включен для изучения на 1 vlan (клиенты в 1 влане)
ip dhcp snooping vlan 41 ====== включен для изучения на 41 vlan (клиенты в 41 влане)
ip source-guard ======== включен глобально
Настройка порта
interface gigabitethernet 1/0/2
ip source-guard
loopback-detection enable
switchport access vlan 41
bridge multicast unregistered filtering
storm-control broadcast enable
spanning-tree disable
switchport access multicast-tv vlan 3003
На тестовой стойке при подключении одного хоста к порту работает
#sh ip source-guard status
IP Source Guard: Enabled
Interface Filter Status IP address MAC address VLAN Type
--------- ------ -------- --------------- ----------------- ---- ------
gi1/0/1 IP active 10.10.23.125 14:cc:20:0e:57:3d 41 DHCP
gi1/0/2 IP active Deny All
gi1/0/3 IP active Deny All
gi1/0/5 IP active Deny All
Вопрос
- правильно ли настроен ip source-guard для моих целей (может что то нужно еще)
- есть ли ограничение по количеству мак адрессов на порту
- нужно ли включать ip source-guard на аплинк порту
Почему возник данный вопрос. При установки коммутатора в действующую сеть функцию ip source-guard на портах пришлось выключить так как абоненты перестали работать
О деактивации форума Eltex
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
Настройка source-guard на MES2124MB
Re: Настройка source-guard на MES2124MB
- правильно ли настроен ip source-guard для моих целей (может что то нужно еще)
Правильно. Вот только не заметил на аплинк порту команду ip dhcp snooping trust
- есть ли ограничение по количеству мак адрессов на порту
port security mode max-addresses
port security max 0 - 1024 (указать свое значение)
- нужно ли включать ip source-guard на аплинк порту
Нет
Что понимается под выражением: "абоненты перестали работать?"
Перестали получать адреса или абонентский трафик не ходил?
ip source guard работает на основе таблицы dhcp snooping. Его функцией является защита от подмены ip адреса абонентом. На саму выдачу адреса он никак не влияет. Возможно как раз не заработало из-за отсутствия настроек из комментария №1? Если нет, то нужен более полный конфиг и детали.
Правильно. Вот только не заметил на аплинк порту команду ip dhcp snooping trust
- есть ли ограничение по количеству мак адрессов на порту
port security mode max-addresses
port security max 0 - 1024 (указать свое значение)
- нужно ли включать ip source-guard на аплинк порту
Нет
Почему возник данный вопрос. При установки коммутатора в действующую сеть функцию ip source-guard на портах пришлось выключить так как абоненты перестали работать
Что понимается под выражением: "абоненты перестали работать?"
Перестали получать адреса или абонентский трафик не ходил?
ip source guard работает на основе таблицы dhcp snooping. Его функцией является защита от подмены ip адреса абонентом. На саму выдачу адреса он никак не влияет. Возможно как раз не заработало из-за отсутствия настроек из комментария №1? Если нет, то нужен более полный конфиг и детали.
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/
Re: Настройка source-guard на MES2124MB
ip dhcp snooping trust - настроен
interface gigabitethernet 1/0/4
ip dhcp snooping trust
loopback-detection enable
switchport mode trunk
switchport trunk allowed vlan add 41,100,3003
spanning-tree disable
Абоненты айпи получают. Я так понимаю блокируеться трафик.
interface gigabitethernet 1/0/4
ip dhcp snooping trust
loopback-detection enable
switchport mode trunk
switchport trunk allowed vlan add 41,100,3003
spanning-tree disable
Абоненты айпи получают. Я так понимаю блокируеться трафик.
Re: Настройка source-guard на MES2124MB
А в таблице dhcp snooping есть запись для абонента, у которого блокируется трафик? Если есть, то трафик не должен блокироваться.
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/
Re: Настройка source-guard на MES2124MB
Не смотрел. Проверю отпишусь
Вернуться в «Коммутаторы и маршрутизаторы Ethernet»
Кто сейчас на конференции
Сейчас этот форум просматривают: Google [Bot] и 13 гостей