4 / 4 / 3
Регистрация: 06.07.2012
Сообщений: 138
|
|
1 | |
резервирование маршрутизатора и port-security на каталисте09.06.2017, 07:31. Показов 953. Ответов 3
Метки нет (Все метки)
Такая задача.
Есть два резервируемых маршрутизатора, которые подключаются к локалке через катались (на самом деле их тоже два, но они в стеке). На роутерах настроен протокол HSRP (standby 1 ip aa.bb.cc.dd) в сторону локалки. Есть требование безопасности - прописывать на порты коммутатора жестко mac-адреса подключаемых устройств: switchport port-security voilation protected switchport port-security mac-address sticky switchport port-security родные маки роутеров свич выучивает без проблем, но для hsrp используется еще один мак, который, по-идее, надо прописать на оба порта, к которым подключаются маршрутизаторы. добавляем к портам switchport port-security maximum 2 Однако хоть с помощью sticky, хоть статически этот мак прописывается только на один порт и на втором пакеты от роутера отбрасываются. Как решить эту проблему, желательно, без mac access-list, т.е. с помощью port-security ??
0
|
09.06.2017, 07:31 | |
Ответы с готовыми решениями:
3
Security port на транковом порту Port-security множественный err-disabled Работа с UDP протоколом за роутером (Port Restricted Cone NAT и в добавок Random port ) Работа Scilab Serial Port Library (COM port) |
Модератор
11424 / 6993 / 1901
Регистрация: 25.12.2012
Сообщений: 29,398
|
|
09.06.2017, 08:15 | 2 |
0
|
860 / 433 / 128
Регистрация: 20.04.2014
Сообщений: 1,117
|
|
09.06.2017, 17:36 | 3 |
А зачем вам в САМ-таблице 2 записи на разных портах об одном МАС-е? Тогда свич не будет знать, куда отправлять кадры для данного МАС-а. Когда у вас работает Standby-группа, на каждую такую группу присваивается 1 виртуальный IP, 1 виртуальный МАС. И только активный маршрутизатор в группе обслуживает эти виртуальные адреса: передает Gratuitous ARP о них, отвечает на обычные ARP запросы к виртуальному IP, продвигает через себя трафик.
Сдохнет активный маршрутизатор - его место займет standby-router, если есть еще маршрутизаторы в группе - из них выберется новый standby. Свич получит Gratuitous ARP на новом порте - и перепишет запись в САМ-таблице. А Portsecurity делайте только на аccess-портах (у вас же юзвери не имеют физического доступа к свичам, правильно? только к розеткам на стенках?) - и все будет работать. Создается впечатление, что вы хотите странного. Чего именно?
1
|
4 / 4 / 3
Регистрация: 06.07.2012
Сообщений: 138
|
|
11.06.2017, 05:55 [ТС] | 4 |
Korax, есть еще один неприятный момент. Проектанты (будь они неладны) сделали резервирование ethernet до АРМов (а это для нас обычный комп с одной сетевухой) следующим образом: до помещения АРМа идут два кабеля (из разных каталистов, но они в стеке и ведут себя как единое целое) и подключаются в двойную розетку, а пользователь АРМа в случае проблем вручную переключает свой сетевой кабель в другое гнездо розетки. Бред конечно, но тем не менее. По требованиям безопасности к этой розетке нельзя ничего кроме этого АРМа подключать. А хочу я просто что бы каталист не мешал адреса прописанные в port-security с таблицей мак-адресов...
Добавлено через 3 минуты insect_87, а почему да? Если нет другого способа то так и сделаем...
1
|
11.06.2017, 05:55 | |
11.06.2017, 05:55 | |
Помогаю со студенческими работами здесь
4
Replacing invalid security id with default security id for file и в результате черный экран Replacing invalid security id with default security id for file Asterisk security + Symfony 2 security после попытки "Автоподстройки"(разгон) в Каталисте , - произошел СБОЙ!!!, после чего, как мне показалось игры начали подтормаживать. Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |