резервирование маршрутизатора и port-security на каталисте

@Yacudzer · Регистрация: 06.07.2012

Author24 — интернет-сервис помощи студентам

Такая задача.
Есть два резервируемых маршрутизатора, которые подключаются к локалке через катались (на самом деле их тоже два, но они в стеке).
На роутерах настроен протокол HSRP (standby 1 ip aa.bb.cc.dd) в сторону локалки.
Есть требование безопасности - прописывать на порты коммутатора жестко mac-адреса подключаемых устройств:
switchport port-security voilation protected
switchport port-security mac-address sticky
switchport port-security

родные маки роутеров свич выучивает без проблем, но для hsrp используется еще один мак, который, по-идее, надо прописать на оба порта, к которым подключаются маршрутизаторы.
добавляем к портам switchport port-security maximum 2
Однако хоть с помощью sticky, хоть статически этот мак прописывается только на один порт и на втором пакеты от роутера отбрасываются.

Как решить эту проблему, желательно, без mac access-list, т.е. с помощью port-security ??

@insect_87 · 09.06.2017, 08:15

Сообщение от Yacudzer

без mac access-list

а почему нет?

@Korax · 09.06.2017, 17:36

А зачем вам в САМ-таблице 2 записи на разных портах об одном МАС-е? Тогда свич не будет знать, куда отправлять кадры для данного МАС-а. Когда у вас работает Standby-группа, на каждую такую группу присваивается 1 виртуальный IP, 1 виртуальный МАС. И только активный маршрутизатор в группе обслуживает эти виртуальные адреса: передает Gratuitous ARP о них, отвечает на обычные ARP запросы к виртуальному IP, продвигает через себя трафик.
Сдохнет активный маршрутизатор - его место займет standby-router, если есть еще маршрутизаторы в группе - из них выберется новый standby. Свич получит Gratuitous ARP на новом порте - и перепишет запись в САМ-таблице.

А Portsecurity делайте только на аccess-портах (у вас же юзвери не имеют физического доступа к свичам, правильно? только к розеткам на стенках?) - и все будет работать.

Создается впечатление, что вы хотите странного. Чего именно?

@Yacudzer · 11.06.2017, 05:55 **[ТС]**

Korax, есть еще один неприятный момент. Проектанты (будь они неладны) сделали резервирование ethernet до АРМов (а это для нас обычный комп с одной сетевухой) следующим образом: до помещения АРМа идут два кабеля (из разных каталистов, но они в стеке и ведут себя как единое целое) и подключаются в двойную розетку, а пользователь АРМа в случае проблем вручную переключает свой сетевой кабель в другое гнездо розетки. Бред конечно, но тем не менее. По требованиям безопасности к этой розетке нельзя ничего кроме этого АРМа подключать. А хочу я просто что бы каталист не мешал адреса прописанные в port-security с таблицей мак-адресов...

Добавлено через 3 минуты
insect_87, а почему да? Если нет другого способа то так и сделаем...

@Yacudzer 4 / 4 / 3 Регистрация: 06.07.2012 Сообщений: 138
		1
	резервирование маршрутизатора и port-security на каталисте 09.06.2017, 07:31. Показов 953. Ответов 3 Метки нет (Все метки) Такая задача. Есть два резервируемых маршрутизатора, которые подключаются к локалке через катались (на самом деле их тоже два, но они в стеке). На роутерах настроен протокол HSRP (standby 1 ip aa.bb.cc.dd) в сторону локалки. Есть требование безопасности - прописывать на порты коммутатора жестко mac-адреса подключаемых устройств: switchport port-security voilation protected switchport port-security mac-address sticky switchport port-security родные маки роутеров свич выучивает без проблем, но для hsrp используется еще один мак, который, по-идее, надо прописать на оба порта, к которым подключаются маршрутизаторы. добавляем к портам switchport port-security maximum 2 Однако хоть с помощью sticky, хоть статически этот мак прописывается только на один порт и на втором пакеты от роутера отбрасываются. Как решить эту проблему, желательно, без mac access-list, т.е. с помощью port-security ?? 0

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	09.06.2017, 08:15	2
	Сообщение от Yacudzer без mac access-list а почему нет? 0

@Korax 860 / 433 / 128 Регистрация: 20.04.2014 Сообщений: 1,117
	09.06.2017, 17:36	3
	А зачем вам в САМ-таблице 2 записи на разных портах об одном МАС-е? Тогда свич не будет знать, куда отправлять кадры для данного МАС-а. Когда у вас работает Standby-группа, на каждую такую группу присваивается 1 виртуальный IP, 1 виртуальный МАС. И только активный маршрутизатор в группе обслуживает эти виртуальные адреса: передает Gratuitous ARP о них, отвечает на обычные ARP запросы к виртуальному IP, продвигает через себя трафик. Сдохнет активный маршрутизатор - его место займет standby-router, если есть еще маршрутизаторы в группе - из них выберется новый standby. Свич получит Gratuitous ARP на новом порте - и перепишет запись в САМ-таблице. А Portsecurity делайте только на аccess-портах (у вас же юзвери не имеют физического доступа к свичам, правильно? только к розеткам на стенках?) - и все будет работать. Создается впечатление, что вы хотите странного. Чего именно? 1

@Yacudzer 4 / 4 / 3 Регистрация: 06.07.2012 Сообщений: 138
	11.06.2017, 05:55 [ТС]	4
	Korax, есть еще один неприятный момент. Проектанты (будь они неладны) сделали резервирование ethernet до АРМов (а это для нас обычный комп с одной сетевухой) следующим образом: до помещения АРМа идут два кабеля (из разных каталистов, но они в стеке и ведут себя как единое целое) и подключаются в двойную розетку, а пользователь АРМа в случае проблем вручную переключает свой сетевой кабель в другое гнездо розетки. Бред конечно, но тем не менее. По требованиям безопасности к этой розетке нельзя ничего кроме этого АРМа подключать. А хочу я просто что бы каталист не мешал адреса прописанные в port-security с таблицей мак-адресов... Добавлено через 3 минуты insect_87, а почему да? Если нет другого способа то так и сделаем... 1

Опции темы