作者minifruits (i got ur msg..)
看板MIS
標題Re: [請益] cisco 2950 做IP-MAC binding
時間Wed Feb 11 19:31:23 2015
※ 引述《minifruits (i got ur msg..)》之銘言:
: 如題
: 這幾天接到一個任務,防止client修改ip上網,需要用2950來做ip-mac binding
: 爬文許久發現這2950應該是做不起來,看樣子除了生台L3 switch外應該沒其他辦法了
: 想請問一下有沒有什麼"歪步"來達到ip-mac binding的目的
: 機型是
: cisco WS-C2950T-48-SI (RC32300)
: System image file is "flash:/c2950-i6q4l2-mz.121-22.EA4.bin"
: 環境
: 2950下client都是同網段,對上2 Giga port trunk到cisco 3750
: 試過方法
: dhcp binbing ip跟mac,然後port-security綁mac (client改固ip一樣可跑)
: arp綁mac跟ip,但沒辦法套在int上
: access-group沒辦法綁int上
: 目前想到是(尚未測試)
: 每個port塞1個vlan,vlan上再給一個access-list,再由3750來route
: 如果48port都有人用就要做48次(倒)
: 這樣做下來好像有很多問題...
: 不知道有沒有鄉民可以給點意見@@
我是原po
在無法說服老闆花錢的情況下目前是退一步來搞
3750
簡易架構如下圖
http://ppt.cc/N7rc
try了一些指令後發現仍然無法阻止client上網(倒
3750-24(config)#int g1/0/7
3750-24(config-if)#ip verify source port-security
3750-24(config)#int g1/0/8
3750-24(config-if)#ip verify source port-security
==============================================
port state
interface GigabitEthernet1/0/7
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,100,118,133
switchport mode trunk
ip access-group MygameDept in
channel-group 1 mode active
ip verify source port-security
!
interface GigabitEthernet1/0/8
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,100,118,133
switchport mode trunk
ip access-group MygameDept in
channel-group 1 mode active
ip verify source port-security
==============================================
手動設定binding ip
3750-24(config)#ip source binding MAC vlan 133 192.168.3.x int G1/0/7
3750-24(config)#ip source binding MAC vlan 133 192.168.3.x int G1/0/8
這邊各設定7跟8port的話source binding只會顯示最後設定的那個@@
VLAN Interface
--- ------------- --------- ------- ------- -------------
MAC 192.168.3.X infinite static 1 G1/0/8
再綁arp
3750-24(config)arp 192.168.3.x xxxx.xxxx.xxxx arpa G1/0/7
測試結果→無效@@,client換個IP照樣可以溜上網(倒
ip source binding MAC vlan 133 192.168.3.x int port-channel 1
另外手動設定binding ip時可以掛port-channel
結果也是GG
這一定是有忽略什麼東西了,肯請鄉民鞭一下@@
--
★
Ω◣
▁▂▁〉 ╱ ̄ ̄ ̄╲
▄◣_▂▃▂_◢▄ 人● ω ●人 ◢▼▼▼◣ ψ
★
ㄈ▄︵ ╱ ◣ //
-======-\\
◢ ,=◤ ╱ ◥=, ◣ ◢ ╱ ◣ ╱﹀﹀﹀╲◣碩
▼
〈 ◤ ◥ ▕
∣◥◥◥◥|▏
◢/◢◤◢◢\◣ ▉ ◤◤◤◥﹨▏∥◤◤◥◥|
◤◤◥ ◤◤▕
∣▇
▇
|▏
◥◥ ◥◤◤▊ ∣▎╱ ╲
◢◥"︿︿"◤
◣ 川◥" – "◤川
◥" ▼ "◤
▉◥" ︺ "◤
◤▉◥" ╯"◤\
◥◣▲介▲◢◤ ∕V
▲介▲ V
﹨廢 怯◥▲★▲◤少 女◥ ▲Ψ▲◤ ▊川▲θ▲川▲
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 203.75.244.133
※ 文章網址: https://webptt.com/m.aspx?n=bbs/MIS/M.1423654289.A.8F2.html
1F:推 asdfghjklasd: 低調一下@@ 02/11 19:54
2F:→ minifruits: 喔喔A大在樓上是嗎? 02/11 20:05
※ 編輯: minifruits (203.75.244.133), 02/11/2015 20:16:46
3F:推 asdfghjklasd: 要是你是去年10月後進去的,那就是。。。。。。 02/11 20:55
4F:→ minifruits: 我打雜工當好久了..我認人的記憶力很差@@ 02/12 00:52
5F:推 asdfghjklasd: 那就誤會人摟。。。。但是。。。 02/12 02:29
6F:→ deadwood: 有port-channel 要把指令下在interface port-channel 02/12 10:06
7F:推 deadwood: 另外不用加port-security 02/12 10:10
8F:推 zaknafein: 是不是要先做 ip dhcp snooping 呀? 02/12 11:44
9F:→ deadwood: IP source guard是需要配合dhcp snooping的,該不會真的 02/12 14:01
10F:→ deadwood: 忘記開 這個功能了吧... 02/12 14:05
11F:→ deadwood: 雖然現在有IP sourse guard for static hosts,但是也只 02/12 14:05
12F:→ deadwood: 用開在access port上,不符合原PO架構就是 02/12 14:06