Элтекс

Приветствую!
DHCP сервер настроен таким образом, что всем зарегистрированным mac адресам выдает ip адреса из сетей 10.0.1-199.0/24. В соответствии с этим на коммутаторах созданы связки ip source-guard. Все незарегистрированные mac'и получают ip из сетей 10.0.200-202.0/24. Этих связок, естественно, нет и такие маки должны блокироваться. Однако, потому как ip адреса они все-таки получают от dhcp сервера, работа им разрешается:
Как разрешить работу только тем ip адресам, которые есть в списке ip source-guard?
И второй вопрос: Как запретить пакеты PPPoE с маков с неправильным IP адресом?

На основе таблицы dhcp bindings коммутатор должен сформировать таблицу ip source guard для предотвращения атак ip spoofing. При попытке использовать IP-адрес, отличный от выданного DHCP-сервером, трафик должен блокироваться коммутатором.
У вас в конфигурации используется как статический IP/MAC binding, так и динамический IP/MAC binding.
Если на порт прописано статикой правило, то пакет будет проверяться по нему. При несоответствии будет отброшен.
ip source-guard binding 00:1c:15:b3:60:16 398 192.168.1.3 GigabitEthernet 1/0/11
Соответственно в таблице будет запись о статической привязке

console#sh ip source-guard statu
IP Source Guard: Enabled
Interface Filter Status IP address MAC address VLAN Type
--------- ------ -------- --------------- ----------------- ---- ------

gi1/0/11 IP active 192.168.1.3 00:1c:25:a3:70:06 398 Static

Если на порт не прописано правило статикой, то будет динамическая привязка. Об этом свидетельствует тип DHCP в таблице:

console#sh ip source-guard statu
IP Source Guard: Enabled
Interface Filter Status IP address MAC address VLAN Type
--------- ------ -------- --------------- ----------------- ---- ------
gi1/0/10 IP active 192.168.1.2 bc:ae:c5:da:0c:a2 398 DHCP

И второй вопрос: Как запретить пакеты PPPoE с маков с неправильным IP адресом?

Разъясните этот вопрос. Что значит неправильный IP адрес?

Евгений Т писал(а):Разъясните этот вопрос. Что значит неправильный IP адрес?

IP адрес, отсутствующий в статической таблице связок. Т.е. если в таблице с этим маком связан определенный ip адрес, а пакеты приходят с этого мака, но src ip в них другой. Можно ли запретить pppoe пакеты с такого мака?

Такой возможности нет.

А можно сделать такую схему:
1. Клиент получает адрес по DHCP с использованием Relay и Option 82.
2. Работает DHCP Snooping. От него нам надо, чтобы, как написано в инструкции, была защита от DHCP-серверов на не доверенных портах. Кроме того, вроде как, без него оригинальный широковещательный запрос от клиента улетает дальше по влану и релеится другими коммутаторами (?).
2. При этом IP Source guard проверяет только статические привязки. Т.е. клиент воткнут в нашу сеть, получает IP, но не имеет доступ абсолютно никуда, пока мы не сделаем привязку его мака и IP к порту.

??