mes-2124 ip source-guard binding

[[-Alt-]]

Можно ли создать ip source-guard binding без mac адреса, чтобы на порту привязка была только по ip? Если нет, то может есть примеры как сделать это с помощью acl (фильтрация arp и трафика)?

[Голубцов Дмитрий]

Вот пример фильтрации с помощью acl

console(config)#ip access-list extended IP_FILTERING
console(config-ip-al)#permit ip any any 192.168.0.1 255.255.255.255 any
console(config)#int GigabitEthernet 1/0/1
console(config-if)#service-acl input IP_FILTERING

Разрешает пакеты только с src ip 192.168.0.1

[[-Alt-]]

Это слишком просто Я так понимаю, оно не отфильтрует левые arp ответы, что уже плохо. Во вторых есть проблема, я хотел повесить глобальные правила, например на фильтрацию netbios, правила на порт, для ограничения IP-Port. Как оказалось, нельзя поаесить 2 Ip acl на один порт. Это получается, нужно создавать для каждого порта отдельный acl со всеми правилами.. ip source-guard binding был бы решением, глобальные правила + ip source-guard binding на порт. Но я так понимаю, что без проверки mac оно не работает?

[Голубцов Дмитрий]

Можно попробовать использовать ACL в связке c функцией ARP-inspection. Без проверки на MAC source-guard не работает.

[[-Alt-]]

Жаль, в очередной раз не получилась замена д-линку...
Пробовал acl offset list, но так как проверок в одном листе максимум 4, и они однобайтные, не получается проверить и тип пакета и ip адрес в нем (для arp например нужно 5 смещений 0 (тип), 16, 17, 18, 19 (адрес))
arp inspection требует mac
Свитч купили на пробу, как вариант замены, по первым впечатлениям не плохо, но вот 3 косяка которые ставят на идее крест, первый вышеописанный, второй, что нормально считать статус Скорость/Duplex порта, и их административные установки приходится делать каким-то адским способом:

Код: Выделить всё

        $RLautoneg = @snmp2_walk($switch['switch_ip'], SNMP_COMMUNITY, '1.3.6.1.4.1.89.43.1.1.16', SNMP_RTIMEOUT, SNMP_RETRIES);
        $RLspeedAdmin = @snmp2_walk($switch['switch_ip'], SNMP_COMMUNITY, '1.3.6.1.4.1.89.43.1.1.15', SNMP_RTIMEOUT, SNMP_RETRIES);
        $RLspeedOper = @snmp2_walk($switch['switch_ip'], SNMP_COMMUNITY, '1.3.6.1.2.1.2.2.1.5', SNMP_RTIMEOUT, SNMP_RETRIES);
        $RLduplexAdmin = @snmp2_walk($switch['switch_ip'], SNMP_COMMUNITY, '1.3.6.1.4.1.89.43.1.1.3', SNMP_RTIMEOUT, SNMP_RETRIES);
        $RLduplexOper = @snmp2_walk($switch['switch_ip'], SNMP_COMMUNITY, '1.3.6.1.4.1.89.43.1.1.4', SNMP_RTIMEOUT, SNMP_RETRIES);


И потом исходя их этого высчитывать-угадывать, что на порту задано, auto оно или задано жестко, и текущую скорость/дуплекс на порту.
Вместо привычных на dlink двух OID в которых административный статус и текущий статус считывается простым int перечислением.

Ну и третий, я так и не понял как пользоваться кабель тестром через snmp, куча параметров, не совсем внятно описанных...

[Прокопьев Максим]

Как оказалось, нельзя поаесить 2 Ip acl на один порт.

Возможность имеется в режиме acl-only
(включается командой console#set system mode acl-only).
В этом случае невозможно использовать функцию Selective QinQ.

я так и не понял как пользоваться кабель тестром через snmp, куча параметров, не совсем внятно описанных...

Метод, основанный на затухании (измерение длины кабеля при поднятом линке):
snmpwalk -v2c -c <community> <ip> 1.3.6.1.4.1.89.90.1.2.1.3.<ifindex>.4

Тестирование методом TDR (измерение длины кабеля до места обрыва).
Запуск теста:
snmpset -v2c -c <community> <ip> 1.3.6.1.4.1.89.90.1.1.1.1.<ifindex> i 2

Чтение результатов тестирования методом TDR:
snmpwalk -v2c -c <community> <ip> 1.3.6.1.4.1.89.90.1.2.1.3.<ifindex>.3

[[-Alt-]]

ip access-list extended garbage
permit igmp any any
deny ip any any any 232.0.0.0 15.255.255.255
deny tcp any any any 135-139
deny tcp any any any 445
deny udp any any any 135-139
deny udp any any any 445
permit ip any any any any
exit
ip access-list extended port1
permit ip any any 10.203.1.43 0.0.0.0 any
deny ip any any any any
exit

console(config)#interface gigabitethernet 1/0/1
console(config-if)#service-acl input garbage port1
Type of ACL is illegal
console(config-if)#service-acl input port1 garbage
Type of ACL is illegal
console#show system mode

System mode: acl-only
Feature State
------------------- ---------
Router No
ACL Active
Policy based VLANs inActive
iSCSI inActive
Selective QinQ inActive

[Прокопьев Максим]

Настройку необходимо производить следующим образом:

Код: Выделить всё

console(config)#interface GigabitEthernet 1/0/1
console(config-if)#service-acl input garbage profile 0
console(config-if)#service-acl input port1 profile 1


[[-Alt-]]

ip access-list extended garbage
permit igmp any any
deny ip any any any 224.0.0.0 31.255.255.255
deny tcp any any any 135-139
deny tcp any any any 445
deny udp any any any 135-139
deny udp any any any 445
permit ip any any any any
exit

делаю
interface gigabitethernet 1/0/1
service-acl input garbage

Dhcp relayбольше не работает. Убираю service-acl input garbage, начинает работать.

[Прокопьев Максим]

Приведите, пожалуйста, конфигурацию коммутатора полностью.

[[-Alt-]]

Код: Выделить всё

ip dhcp relay address x.x.x.x
ip dhcp relay enable
ip dhcp information option
ip dhcp information option suboption-type custom
ip dhcp information option format-type option bin
ip dhcp snooping
ip dhcp snooping vlan 10
!
no spanning-tree
!
port jumbo-frame
!
bridge multicast filtering
!
vlan database
 vlan 10,500-501,505
exit
!
ip igmp snooping
ip igmp snooping authorization cache-timeout 10
ip igmp snooping vlan 10
ip igmp snooping vlan 10 cos 5
ip igmp snooping vlan 501
ip igmp snooping vlan 501 cos 5
!
ip access-list extended garbage
 permit igmp any any
 deny ip any any any 224.0.0.0 31.255.255.255
 deny tcp any any any 135-139
 deny tcp any any any 445
 deny udp any any any 135-139
 deny udp any any any 445
 permit ip any any any any
exit
!
radius-server host x.x.x.x encrypted key xxxxxxxxx
!
!
clock timezone MSK +3
clock source sntp
sntp unicast client enable
sntp unicast client poll
sntp server 10.254.15.201 poll
sntp server 10.254.15.202 poll
!
interface gigabitethernet 1/0/1
 ip dhcp relay enable
 loopback-detection enable
 switchport access vlan 10
 bridge multicast unregistered filtering
 storm-control broadcast enable
 storm-control broadcast level kbps 64
 storm-control include-multicast
 port security mode max-addresses
 port security discard
 port security max 10
 spanning-tree disable
 service-acl input garbage
 switchport access multicast-tv vlan 501
 multicast snooping max-groups 5
 multicast snooping authorization radius required
exit

interface gigabitethernet 1/0/25
 ip dhcp snooping trust
 loopback-detection enable
 switchport mode trunk
 switchport trunk allowed vlan add 10,500-501,505
 description uplink
 spanning-tree disable
 lldp management-address automatic
exit
!
interface gigabitethernet 1/0/26
 ip dhcp snooping trust
 loopback-detection enable
 switchport mode trunk
 switchport trunk allowed vlan add 10,500-501,505
 description uplink
 spanning-tree disable
 lldp management-address automatic
exit
!
interface gigabitethernet 1/0/27
 ip dhcp snooping trust
 loopback-detection enable
 switchport mode trunk
 switchport trunk allowed vlan add 10,500-501,505
 description uplink
 spanning-tree disable
 lldp management-address automatic
exit
!
interface gigabitethernet 1/0/28
 ip dhcp snooping trust
 loopback-detection enable
 switchport mode trunk
 switchport trunk allowed vlan add 10,500-501,505
 description uplink
 spanning-tree disable
 lldp management-address automatic
exit
!
interface vlan 1
 no ip address dhcp
exit
!
interface vlan 10
 ip dhcp relay enable
 ip igmp robustness 4
exit
!
interface vlan 500
 name swmanage
 ip address 10.254.3.202 255.255.240.0
exit
!
interface vlan 501
 ip igmp robustness 4
exit
!
ip default-gateway 10.254.0.1
!



[vanyaaer]

Настроено так IP-MAC Binding Mode: acl disable. ARP Inspection: enable. IP-MAC Binding Ports Setting: c 1 по 24 enable loose. Allow Zero IP: enable. Forward DHCP Packet: enable. IP-MAC Binding DHCP Snooping Settings enable

[Евгений Т]

ip access-list extended garbage
permit igmp any any
deny ip any any any 224.0.0.0 31.255.255.255
deny tcp any any any 135-139
deny tcp any any any 445
deny udp any any any 135-139
deny udp any any any 445
permit ip any any any any
exit

делаю
interface gigabitethernet 1/0/1
service-acl input garbage

Dhcp relayбольше не работает. Убираю service-acl input garbage, начинает работать.

Мешает правило deny ip any any any 224.0.0.0 31.255.255.255
Этим правилом вы ограничили диапазон 224.0.0.0 - 255.255.255.255
Соответственно отбрасывается dhcp броадкаст.
Вам следует изменить правило на deny ip any any any 224.0.0.0 15.255.255.255
Таким образом будет отбрасываться диапазон 224.0.0.0 - 239.255.255.255