резервирование маршрутизатора и port-security на каталисте

@Yacudzer · Регистрация: 06.07.2012

Студворк — интернет-сервис помощи студентам

Такая задача.
Есть два резервируемых маршрутизатора, которые подключаются к локалке через катались (на самом деле их тоже два, но они в стеке).
На роутерах настроен протокол HSRP (standby 1 ip aa.bb.cc.dd) в сторону локалки.
Есть требование безопасности - прописывать на порты коммутатора жестко mac-адреса подключаемых устройств:
switchport port-security voilation protected
switchport port-security mac-address sticky
switchport port-security

родные маки роутеров свич выучивает без проблем, но для hsrp используется еще один мак, который, по-идее, надо прописать на оба порта, к которым подключаются маршрутизаторы.
добавляем к портам switchport port-security maximum 2
Однако хоть с помощью sticky, хоть статически этот мак прописывается только на один порт и на втором пакеты от роутера отбрасываются.

Как решить эту проблему, желательно, без mac access-list, т.е. с помощью port-security ??

@insect_87 · 09.06.2017, 08:15

Сообщение от Yacudzer

без mac access-list

а почему нет?

@Korax · 09.06.2017, 17:36

А зачем вам в САМ-таблице 2 записи на разных портах об одном МАС-е? Тогда свич не будет знать, куда отправлять кадры для данного МАС-а. Когда у вас работает Standby-группа, на каждую такую группу присваивается 1 виртуальный IP, 1 виртуальный МАС. И только активный маршрутизатор в группе обслуживает эти виртуальные адреса: передает Gratuitous ARP о них, отвечает на обычные ARP запросы к виртуальному IP, продвигает через себя трафик.
Сдохнет активный маршрутизатор - его место займет standby-router, если есть еще маршрутизаторы в группе - из них выберется новый standby. Свич получит Gratuitous ARP на новом порте - и перепишет запись в САМ-таблице.

А Portsecurity делайте только на аccess-портах (у вас же юзвери не имеют физического доступа к свичам, правильно? только к розеткам на стенках?) - и все будет работать.

Создается впечатление, что вы хотите странного. Чего именно?

@Yacudzer · 11.06.2017, 05:55 **[ТС]**

Korax, есть еще один неприятный момент. Проектанты (будь они неладны) сделали резервирование ethernet до АРМов (а это для нас обычный комп с одной сетевухой) следующим образом: до помещения АРМа идут два кабеля (из разных каталистов, но они в стеке и ведут себя как единое целое) и подключаются в двойную розетку, а пользователь АРМа в случае проблем вручную переключает свой сетевой кабель в другое гнездо розетки. Бред конечно, но тем не менее. По требованиям безопасности к этой розетке нельзя ничего кроме этого АРМа подключать. А хочу я просто что бы каталист не мешал адреса прописанные в port-security с таблицей мак-адресов...

Добавлено через 3 минуты
insect_87, а почему да? Если нет другого способа то так и сделаем...

Новые блоги и статьи Все статьи Все блоги /
Мысли в слух. Про "навсегда". kumehtar 16.04.2026 Подумалось тут, что наверное очень глупо использовать во всяких своих установках понятие "навсегда". Это очень сильное понятие, и я только начинаю понимать край его смысла, не смотря на то что давно. . .	My Business CRM MaGz GoLd 16.04.2026 Всем привет, недавно возникла потребность создать CRM, для личных нужд. Собственно программа предоставляет из себя базу данных клиентов, в которой можно фиксировать звонки, стадии сделки, а также. . .	Знаешь почему 90% людей редко бывают счастливыми? kumehtar 14.04.2026 Потому что они ждут. Ждут выходных, ждут отпуска, ждут удачного момента. . . а удачный момент так и не приходит.	Фиксация колонок в отчете СКД Maks 14.04.2026 Фиксация колонок в СКД отчета типа Таблица. Задача: зафиксировать три левых колонки в отчете. Процедура ПриКомпоновкеРезультата(ДокументРезультат, ДанныеРасшифровки, СтандартнаяОбработка) / / . . .
Настройки VS Code Loafer 13.04.2026 { "cmake. configureOnOpen": false, "diffEditor. ignoreTrimWhitespace": true, "editor. guides. bracketPairs": "active", "extensions. ignoreRecommendations": true, . . .	Оптимизация кода на разграничение прав доступа к элементам формы Maks 13.04.2026 Алгоритм из решения ниже реализован на нетиповом документе, разработанного в конфигурации КА2. Задачи, как таковой, поставлено не было, проделанное ниже исключительно моя инициатива. Было так:. . .	Контроль заполнения и очистка дат в зависимости от значения перечислений Maks 12.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеПерсонала", разработанного в конфигурации КА2. Задача: реализовать контроль корректности заполнения дат назначения. . .	Архитектура слоя интернета для сервера-слоя. Hrethgir 11.04.2026 В продолжение https:/ / www. cyberforum. ru/ blogs/ 223907/ 10860. html Знаешь что я подумал? Раз мы все источники пишем в голове ветки, то ничего не мешает добавить в голову такой источник, который сам. . .

@Yacudzer 4 / 4 / 3 Регистрация: 06.07.2012 Сообщений: 138

	резервирование маршрутизатора и port-security на каталисте 09.06.2017, 07:31. Показов 1134. Ответов 3 Метки нет (Все метки) Такая задача. Есть два резервируемых маршрутизатора, которые подключаются к локалке через катались (на самом деле их тоже два, но они в стеке). На роутерах настроен протокол HSRP (standby 1 ip aa.bb.cc.dd) в сторону локалки. Есть требование безопасности - прописывать на порты коммутатора жестко mac-адреса подключаемых устройств: switchport port-security voilation protected switchport port-security mac-address sticky switchport port-security родные маки роутеров свич выучивает без проблем, но для hsrp используется еще один мак, который, по-идее, надо прописать на оба порта, к которым подключаются маршрутизаторы. добавляем к портам switchport port-security maximum 2 Однако хоть с помощью sticky, хоть статически этот мак прописывается только на один порт и на втором пакеты от роутера отбрасываются. Как решить эту проблему, желательно, без mac access-list, т.е. с помощью port-security ?? 0

@Korax 866 / 438 / 130 Регистрация: 20.04.2014 Сообщений: 1,127
	09.06.2017, 17:36
	А зачем вам в САМ-таблице 2 записи на разных портах об одном МАС-е? Тогда свич не будет знать, куда отправлять кадры для данного МАС-а. Когда у вас работает Standby-группа, на каждую такую группу присваивается 1 виртуальный IP, 1 виртуальный МАС. И только активный маршрутизатор в группе обслуживает эти виртуальные адреса: передает Gratuitous ARP о них, отвечает на обычные ARP запросы к виртуальному IP, продвигает через себя трафик. Сдохнет активный маршрутизатор - его место займет standby-router, если есть еще маршрутизаторы в группе - из них выберется новый standby. Свич получит Gratuitous ARP на новом порте - и перепишет запись в САМ-таблице. А Portsecurity делайте только на аccess-портах (у вас же юзвери не имеют физического доступа к свичам, правильно? только к розеткам на стенках?) - и все будет работать. Создается впечатление, что вы хотите странного. Чего именно? 1

@Yacudzer 4 / 4 / 3 Регистрация: 06.07.2012 Сообщений: 138
	11.06.2017, 05:55 [ТС]
	Korax, есть еще один неприятный момент. Проектанты (будь они неладны) сделали резервирование ethernet до АРМов (а это для нас обычный комп с одной сетевухой) следующим образом: до помещения АРМа идут два кабеля (из разных каталистов, но они в стеке и ведут себя как единое целое) и подключаются в двойную розетку, а пользователь АРМа в случае проблем вручную переключает свой сетевой кабель в другое гнездо розетки. Бред конечно, но тем не менее. По требованиям безопасности к этой розетке нельзя ничего кроме этого АРМа подключать. А хочу я просто что бы каталист не мешал адреса прописанные в port-security с таблицей мак-адресов... Добавлено через 3 минуты insect_87, а почему да? Если нет другого способа то так и сделаем... 1