作者minifruits (i got ur msg..)
看板MIS
标题Re: [请益] cisco 2950 做IP-MAC binding
时间Wed Feb 11 19:31:23 2015
※ 引述《minifruits (i got ur msg..)》之铭言:
: 如题
: 这几天接到一个任务,防止client修改ip上网,需要用2950来做ip-mac binding
: 爬文许久发现这2950应该是做不起来,看样子除了生台L3 switch外应该没其他办法了
: 想请问一下有没有什麽"歪步"来达到ip-mac binding的目的
: 机型是
: cisco WS-C2950T-48-SI (RC32300)
: System image file is "flash:/c2950-i6q4l2-mz.121-22.EA4.bin"
: 环境
: 2950下client都是同网段,对上2 Giga port trunk到cisco 3750
: 试过方法
: dhcp binbing ip跟mac,然後port-security绑mac (client改固ip一样可跑)
: arp绑mac跟ip,但没办法套在int上
: access-group没办法绑int上
: 目前想到是(尚未测试)
: 每个port塞1个vlan,vlan上再给一个access-list,再由3750来route
: 如果48port都有人用就要做48次(倒)
: 这样做下来好像有很多问题...
: 不知道有没有乡民可以给点意见@@
我是原po
在无法说服老板花钱的情况下目前是退一步来搞
3750
简易架构如下图
http://ppt.cc/N7rc
try了一些指令後发现仍然无法阻止client上网(倒
3750-24(config)#int g1/0/7
3750-24(config-if)#ip verify source port-security
3750-24(config)#int g1/0/8
3750-24(config-if)#ip verify source port-security
==============================================
port state
interface GigabitEthernet1/0/7
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,100,118,133
switchport mode trunk
ip access-group MygameDept in
channel-group 1 mode active
ip verify source port-security
!
interface GigabitEthernet1/0/8
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,100,118,133
switchport mode trunk
ip access-group MygameDept in
channel-group 1 mode active
ip verify source port-security
==============================================
手动设定binding ip
3750-24(config)#ip source binding MAC vlan 133 192.168.3.x int G1/0/7
3750-24(config)#ip source binding MAC vlan 133 192.168.3.x int G1/0/8
这边各设定7跟8port的话source binding只会显示最後设定的那个@@
VLAN Interface
--- ------------- --------- ------- ------- -------------
MAC 192.168.3.X infinite static 1 G1/0/8
再绑arp
3750-24(config)arp 192.168.3.x xxxx.xxxx.xxxx arpa G1/0/7
测试结果→无效@@,client换个IP照样可以溜上网(倒
ip source binding MAC vlan 133 192.168.3.x int port-channel 1
另外手动设定binding ip时可以挂port-channel
结果也是GG
这一定是有忽略什麽东西了,肯请乡民鞭一下@@
--
★
Ω◣
▁▂▁〉 ╱ ̄ ̄ ̄╲
▄◣_▂▃▂_◢▄ 人● ω ●人 ◢▼▼▼◣ ψ
★
ㄈ▄︵ ╱ ◣ //
-======-\\
◢ ,=◤ ╱ ◥=, ◣ ◢ ╱ ◣ ╱﹀﹀﹀╲◣硕
▼
〈 ◤ ◥ ▕
∣◥◥◥◥|▏
◢/◢◤◢◢\◣ ▉ ◤◤◤◥﹨▏∥◤◤◥◥|
◤◤◥ ◤◤▕
∣▇
▇
|▏
◥◥ ◥◤◤▊ ∣▎╱ ╲
◢◥"︿︿"◤
◣ 川◥" – "◤川
◥" ▼ "◤
▉◥" ︺ "◤
◤▉◥" ╯"◤\
◥◣▲介▲◢◤ ∕V
▲介▲ V
﹨废 怯◥▲★▲◤少 女◥ ▲Ψ▲◤ ▊川▲θ▲川▲
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 203.75.244.133
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MIS/M.1423654289.A.8F2.html
1F:推 asdfghjklasd: 低调一下@@ 02/11 19:54
2F:→ minifruits: 喔喔A大在楼上是吗? 02/11 20:05
※ 编辑: minifruits (203.75.244.133), 02/11/2015 20:16:46
3F:推 asdfghjklasd: 要是你是去年10月後进去的,那就是。。。。。。 02/11 20:55
4F:→ minifruits: 我打杂工当好久了..我认人的记忆力很差@@ 02/12 00:52
5F:推 asdfghjklasd: 那就误会人搂。。。。但是。。。 02/12 02:29
6F:→ deadwood: 有port-channel 要把指令下在interface port-channel 02/12 10:06
7F:推 deadwood: 另外不用加port-security 02/12 10:10
8F:推 zaknafein: 是不是要先做 ip dhcp snooping 呀? 02/12 11:44
9F:→ deadwood: IP source guard是需要配合dhcp snooping的,该不会真的 02/12 14:01
10F:→ deadwood: 忘记开 这个功能了吧... 02/12 14:05
11F:→ deadwood: 虽然现在有IP sourse guard for static hosts,但是也只 02/12 14:05
12F:→ deadwood: 用开在access port上,不符合原PO架构就是 02/12 14:06