Форум программистов, компьютерный форум, киберфорум
Наши страницы
Cisco
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.88/25: Рейтинг темы: голосов - 25, средняя оценка - 4.88
metis87
0 / 0 / 0
Регистрация: 25.02.2014
Сообщений: 8
1

Настроить фильтрацию по mac Cisco 2960

26.02.2014, 11:23. Просмотров 4698. Ответов 15
Метки нет (Все метки)

Добрый день! Приобрели cisco 2960? начальство требует настроить фильтрацию по mac. Сразу прошу прощения за такого рода вопросы (для кого то это покажется смешным), с циско не сталкивался ни когда первый раз пытаюсь настроить, первоначальную настройку сделал. объеденил все порты в одну vlan, а дальше ничего не получается...
Помогите плиз кто чем сможет, необходимо сделать так чтобы все наши компы (mac) железякя пускала, а вот если в сети появиться не зарегистрированный mac то тогда железяка должна отправлять сообщение, кажется как-то так! ничего больше не требуется, только фильтрация по mac
Cisco отказался нам помогать в настройке регламентировал тем что мы купить у посредника по этому или платите или настраивайте сами(
Спасибо!
0
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
26.02.2014, 11:23
Ответы с готовыми решениями:

Cisco 2960
Помогите с такой проблемой. Есть две Cisco 2960 и 3560. Необходимо поставить заворот порта сам на...

Cisco 2960
Здравствуйте, подскажите пожалуйста, как на коммутаторе Cisco 2960 создать список доступа. Чтобы...

Прошивка Cisco 2960
Доброго времени суток подскажите каким образм можно прошить, делаю по этой инструкции не...

Cisco Catalyst - 2960
Добрый день. Возможно вопрос задан несколько не в тот раздел, но все же. Есть сеть, с роутерами и...

Стекирование cisco 2960-x
Есть два коммутатора cisco 2960-x. Надо объединить их в стек. Нигде не могу найти нормальный гайд....

15
Jabbson
Эксперт по компьютерным сетям
3449 / 2493 / 778
Регистрация: 03.11.2009
Сообщений: 7,937
Записей в блоге: 3
26.02.2014, 11:57 2
Цитата Сообщение от metis87 Посмотреть сообщение
необходимо сделать так чтобы все наши компы (mac) железякя пускала, а вот если в сети появиться не зарегистрированный mac то тогда железяка должна отправлять сообщение
Базовая настройка безопасности Cisco
port-security
dhcp snooping, dynamic arp inspection и ip source guard

т.е. есть варианты.
есть ли централизованный dhcp? перемещаются ли компы или все время остаются на месте?77
1
metis87
0 / 0 / 0
Регистрация: 25.02.2014
Сообщений: 8
26.02.2014, 12:00  [ТС] 3
компы не перемещаются все время находятся на одном месте! В сети есть несколько серверов и еще роутер который раздает инет, cisco планируем сделать как "свич" основная задача чтобы кроме наших компов ни кто не смог влезть в нашу сеть.
серверы и роутер стоят после циски, все ip у пользователей динамические.
0
Jabbson
Эксперт по компьютерным сетям
3449 / 2493 / 778
Регистрация: 03.11.2009
Сообщений: 7,937
Записей в блоге: 3
26.02.2014, 12:28 4
Код
switchport port-security
switchport port-security max 1
switchport port-security mac sticky
switchport port-security violation shutdown
(ну или если не нужно выключать порт при нарушении - тогда restrict или protect)
после того, как все компьютеры включены и мак выучен на порту - write (ну или copy run start, кому как удобно).
1
26.02.2014, 12:28
metis87
0 / 0 / 0
Регистрация: 25.02.2014
Сообщений: 8
26.02.2014, 12:37  [ТС] 5
1) а что значит выучен? тоесть если я правильно понял сперва нужно всех туда воткнуть после чего выполнить все команды?
Боюсь если порт будет блокироваться потом будут проблемы чтобы его разблокировать, думаю что не буду блокировать порты в случае нарушения.
2) еще вопрос если я сейчас для теста туда воткнул 2 компа и проведу эти команды, дабы проверить что все работает, а когда всех воткну придется все заново выполнять все эти команды?
3) как циско будет информировать о том что произошло нарушение?
Извеняюсь что сразу столько вопросов задаю, но кроме Вас мне походу тут ни кто не поможет...
0
Jabbson
Эксперт по компьютерным сетям
3449 / 2493 / 778
Регистрация: 03.11.2009
Сообщений: 7,937
Записей в блоге: 3
26.02.2014, 13:17 6
Цитата Сообщение от metis87 Посмотреть сообщение
а что значит выучен?
считайте "увидит" да, втыкаете, выполняете команды.

эти команды нужно ввести на всех портах, куда будут подключаться пользователи (например, interface range fa0/1 - 10)

в лог и по snmp может, например:
*Feb 26 01:54:37.015: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address c125.1892.de71 on port GigabitEthernet1/1
0
metis87
0 / 0 / 0
Регистрация: 25.02.2014
Сообщений: 8
26.02.2014, 15:08  [ТС] 7
я новерное что то делаю не так... вот что выдает, после ввода пароля ввожу сразу команду

Password:
just_bu>switchport port-security
% Invalid input detected at marker.
0
Jabbson
Эксперт по компьютерным сетям
3449 / 2493 / 778
Регистрация: 03.11.2009
Сообщений: 7,937
Записей в блоге: 3
26.02.2014, 15:56 8
ясно

Цитата Сообщение от Jabbson Посмотреть сообщение
эти команды нужно ввести на всех портах
то есть, например
Код
enable
conf t
inter fa0/1
нужные команды
и так с каждым интерфейсом, на котором нужно настроить "фильтрацию".

или сразу на диапазоне портов
Код
enable
conf t
interface range fa0/1 - 10
нужные команды
1
metis87
0 / 0 / 0
Регистрация: 25.02.2014
Сообщений: 8
27.02.2014, 16:43  [ТС] 9
Добрый день! Попробывал прописать команды на циско. в итоге не понял записал он или нет на свич то что я хотел. Попробывал втыкнуть в порт на который прописывал другой комп, он как работал так и работает ни какой блокировки нет(
Опять что нето сделал, вот посмотрите что я делаю ни так?

User Access Verification

Password:
just_bucisco>enable
Password:
just_bucisco#conf t
Enter configuration commands, one per line. End with CNTL/Z.
just_bucisco(config)#inter fa0/42
just_bucisco(config-if)#switchport port-security
Command rejected: FastEthernet0/42 is a dynamic port.
just_bucisco(config-if)#switchport port-security max 1
just_bucisco(config-if)#switchport port-security mac sticky
just_bucisco(config-if)#switchport port-security violation shutdown
just_bucisco(config-if)#write
^
% Invalid input detected at '^' marker.

just_bucisco(config-if)#copy run start
^
% Invalid input detected at '^' marker.

just_bucisco(config-if)#
0
Jabbson
Эксперт по компьютерным сетям
3449 / 2493 / 778
Регистрация: 03.11.2009
Сообщений: 7,937
Записей в блоге: 3
27.02.2014, 16:53 10
Цитата Сообщение от metis87 Посмотреть сообщение
Command rejected: FastEthernet0/42 is a dynamic port.
это должен быть access-port

Код
User Access Verification
Password:
just_bucisco>enable
Password:
just_bucisco#conf t
Enter configuration commands, one per line. End with CNTL/Z.
just_bucisco(config)#inter fa0/42
just_bucisco(config-if)#switchport mode access
just_bucisco(config-if)#switchport port-security
just_bucisco(config-if)#switchport port-security max 1
just_bucisco(config-if)#switchport port-security mac sticky
just_bucisco(config-if)#switchport port-security violation shutdown
just_bucisco(config-if)#end
just_bucisco#write
0
metis87
0 / 0 / 0
Регистрация: 25.02.2014
Сообщений: 8
27.02.2014, 17:59  [ТС] 11
Спасибо большое! Вы мне прям очень помогли, просто не представляете как))))))

Еще вопроси а как теперь разблокировать порт который был заблокирован при нарушении?
0
Jabbson
Эксперт по компьютерным сетям
3449 / 2493 / 778
Регистрация: 03.11.2009
Сообщений: 7,937
Записей в блоге: 3
27.02.2014, 18:10 12
Код
shut
no shut
PS
или можно задать интервал, через который порт сам восстановится
если не нужно блокировать, а просто уведомлять - кроме shutdown, есть режимы protect и restrict.

Цитата Сообщение от metis87 Посмотреть сообщение
Спасибо большое! Вы мне прям очень помогли, просто не представляете как))))))
Всегда пожалуйста.
1
metis87
0 / 0 / 0
Регистрация: 25.02.2014
Сообщений: 8
28.02.2014, 09:39  [ТС] 13
Добрый день! Неподскажите можно ли сделать так, чтобы как то прописать все маки наших компов на циско не привязывая их к определенному порту, то есть в случае перемещения компа в другой порт, порт не блокировался (так как мак будет прописан), а если в сеть будет воткнут комп который не прописан на циско то тогда происходило нарушение и порт блокировался.
0
Jabbson
Эксперт по компьютерным сетям
3449 / 2493 / 778
Регистрация: 03.11.2009
Сообщений: 7,937
Записей в блоге: 3
28.02.2014, 12:06 14
Варианта вот так сразу приходит в голову два:
- 802.1x
- dhcp сервер с bind-ингом + dhcp snooping + ip source guard.
0
metis87
0 / 0 / 0
Регистрация: 25.02.2014
Сообщений: 8
28.02.2014, 16:32  [ТС] 15
Подскажите плиз последний шажочек как настроить 802.1х, и все настрою и больше не буду терроризировать Вас) Какие команды нужно набрать?
0
Jabbson
Эксперт по компьютерным сетям
3449 / 2493 / 778
Регистрация: 03.11.2009
Сообщений: 7,937
Записей в блоге: 3
28.02.2014, 17:10 16
How to configure 802.1X authentication based on the MAC address
Complete these steps in order to configure 802.1x authentication on the switch:

Configure following commands on switch in Global configuration mode:

aaa new-model
aaa authentication dot1x default group radius
dot1x system-auth-control
radius-server host IP_address_of_ACS
radius-server key shared_key
switchport access vlan
dot1x port-control auto
dot1x mac-auth-bypass
dot1x timeout quiet-period 15
dot1x timeout tx-period 3
dot1x reauthentication

Go into the interfaces connected to the clients using "interface interface_id" command and configure the following

In the case of Microsoft Windows XP client, for MAC authentication to work, disable the client in order to send an EAP request, so that switch can consider it as agentless host, and initiates the MAC authentication bypass process. This is the registry fix on Windows XP test machine:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EAPOL\Parameters\General\Global]
"SupplicantMode"=dword:00000000

Create an AAA client entry for the switch in ACS from the Network Configuration section. Use RADIUS as the authentication protocol.

On ACS, create an account for the client, based on its MAC address. For example, if the MAC address of the client is 00-15-C5-3A-E4-0D "

Username : 0015c53ae40d
Password : 0015c53ae40d

Refer to the Using IEEE 802.1x Authentication with MAC Authentication Bypass section of Configuring IEEE 802.1x Port-Based Authentication for more information.
Ссылка на 802.1x configuration guide с cisco.com
0
28.02.2014, 17:10
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
28.02.2014, 17:10

Cisco catalist 2960
Всем доброго дня и успехов. Помогите мне в настройке Cisco catalist 2960 8портов , установил на...

Cisco Catalyst 2960-XR
Коллеги, добрый день! Помогите, пожалуйста, разобраться есть коммутатор Cisco Catalyst 2960-XR...

Cisco 2960 и тринсиверы dlink
Добрый день. Имеется Cisco 2960, оптика одномодовая, длиной до 2-х км. Есть ли возможность...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
16
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2019, vBulletin Solutions, Inc.
Рейтинг@Mail.ru