Настройка Access List'а

@Flexo · Регистрация: 26.02.2011

Студворк — интернет-сервис помощи студентам

Ситуация такая: DHCP раздает IP адреса пользователям автоматически, но особо умные меняют себе IP адреса вручную. Нужно запретить это делать. Я знаю на каких портах у меня сидят какие пользователи и какие IP адреса для них зарезервированы. Вроде бы ничего сложного. Задача осложняется тем, что некоторые пользователи сидят за цисковскими IP-телефонами. Т.е. из порта идет шнурок в телефон, а из телефона в компьютер или в свич, а там еще несколько пользователей. IP-адреса телефонов я не знаю (не в моей они подсети и не я ими рулю). Ходить по аудиториям и смотреть IP телефонов тоже не вариант. На порту коммутатора соответственно есть простой VLAN и войсовый.
Задача в том, чтобы повесить на порт Access List разрешающий на нем определенные IP адреса и не распространяющийся на войсовый VLAN. Т.е. чтобы он работал только на обычном VLAN'е. Подскажите как это можно реализовать?

Jabbson · 22.02.2012, 10:24

IP Source Guard (может работать на основе DHCP Snooping или, если не ошибаюсь, статического ручного связывания).

@Flexo · 22.02.2012, 10:33 **[ТС]**

IP Source Guard реализована только на линейках коммутаторов Cisco Catalyst начиная с серии 3560 и выше. А у меня тут только Cisco Catalyst 2960

Jabbson · 22.02.2012, 11:13

Разве?

Jabbson · 22.02.2012, 11:26

Вроде и в фичах есть:

Jabbson · 22.02.2012, 11:48

Catalyst 2960 and 2960-S Switches Software Configuration Guide, Release 12.2(58)SE: Configuring DHCP Features and IP Source Guard

@Flexo · 22.02.2012, 12:11 **[ТС]**

SW(config)# ip source binding 0011.16DA.B49C vlan 10 192.168.10.249 interface FastEthernet 0/1

Примерно таким образом можно привязать машину к порту и IP адресу?

Jabbson · 22.02.2012, 12:23

да, это привязка

@Flexo · 22.02.2012, 14:41 **[ТС]**

Ну вот почему-то не срабатывает. Привязываю как писал выше. Сажусь за комп который привязал, меняю свой IP адрес на другой и все работает. А не должно пускать в сеть с этим левым IP.
Вроде как в мануале написано что в начале надо включить IP source guard на порту. Вроде как включается командами:

ip verify source

ip verify source port-security

Но у меня нет таких команд. Может еще где-то что-то включить надо?

Jabbson · 22.02.2012, 16:30

Какой у Вас IOS?

@Flexo · 24.02.2012, 11:07 **[ТС]**

Сообщение от Jabbson

Какой у Вас IOS?

switch#show version
Cisco IOS Software, C2960 Software (C2960-LANBASE-M), Version 12.2(44)SE, RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2008 by Cisco Systems, Inc.
Compiled Fri 04-Jan-08 21:31 by weiliu
Image text-base: 0x00003000, data-base: 0x01000000

Оно??

Jabbson · 24.02.2012, 11:28

Попробуйте обновиться. Образ, кстати, должен быть LAN Base, не Lite.

@Flexo · 24.02.2012, 11:31 **[ТС]**

А есть какой-нибудь мануал по обновлению? Весь конфиг упадет, все заново надо будет настраивать? А то конторка большая, и если сети не будет, то все дружной придут ко мне

Jabbson · 24.02.2012, 11:34

Тогда можно запланировать ночные работы (по двойной оплате

)
Все просто - стираете образ на флеше, заливаете новый, делаете boot system с нового образа, write mem и ребут. Для того, чтобы себя обезопасить - сделайте копию running-config.

Новые блоги и статьи Все статьи Все блоги /
Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .
Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .	Фото: Daniel Greenwood kumehtar 13.11.2025	Расскажи мне о Мире, бродяга kumehtar 12.11.2025 — Расскажи мне о Мире, бродяга, Ты же видел моря и метели. Как сменялись короны и стяги, Как эпохи стрелою летели. - Этот мир — это крылья и горы, Снег и пламя, любовь и тревоги, И бескрайние. . .

@Flexo 10 / 9 / 5 Регистрация: 26.02.2011 Сообщений: 150

	Настройка Access List'а 22.02.2012, 07:51. Показов 4971. Ответов 13 Метки нет (Все метки) Ситуация такая: DHCP раздает IP адреса пользователям автоматически, но особо умные меняют себе IP адреса вручную. Нужно запретить это делать. Я знаю на каких портах у меня сидят какие пользователи и какие IP адреса для них зарезервированы. Вроде бы ничего сложного. Задача осложняется тем, что некоторые пользователи сидят за цисковскими IP-телефонами. Т.е. из порта идет шнурок в телефон, а из телефона в компьютер или в свич, а там еще несколько пользователей. IP-адреса телефонов я не знаю (не в моей они подсети и не я ими рулю). Ходить по аудиториям и смотреть IP телефонов тоже не вариант. На порту коммутатора соответственно есть простой VLAN и войсовый. Задача в том, чтобы повесить на порт Access List разрешающий на нем определенные IP адреса и не распространяющийся на войсовый VLAN. Т.е. чтобы он работал только на обычном VLAN'е. Подскажите как это можно реализовать? 0

Jabbson 5906 / 3358 / 1036 Регистрация: 03.11.2009 Сообщений: 10,008
	22.02.2012, 10:24
	IP Source Guard (может работать на основе DHCP Snooping или, если не ошибаюсь, статического ручного связывания). 1

@Flexo 10 / 9 / 5 Регистрация: 26.02.2011 Сообщений: 150
	22.02.2012, 10:33 [ТС]
	IP Source Guard реализована только на линейках коммутаторов Cisco Catalyst начиная с серии 3560 и выше. А у меня тут только Cisco Catalyst 2960 0

Jabbson 5906 / 3358 / 1036 Регистрация: 03.11.2009 Сообщений: 10,008
	22.02.2012, 11:13
	Разве? Миниатюры 1

Jabbson 5906 / 3358 / 1036 Регистрация: 03.11.2009 Сообщений: 10,008
	22.02.2012, 11:26
	Вроде и в фичах есть: Миниатюры 0

Jabbson 5906 / 3358 / 1036 Регистрация: 03.11.2009 Сообщений: 10,008
	22.02.2012, 11:48
	Catalyst 2960 and 2960-S Switches Software Configuration Guide, Release 12.2(58)SE: Configuring DHCP Features and IP Source Guard 1

@Flexo 10 / 9 / 5 Регистрация: 26.02.2011 Сообщений: 150
	22.02.2012, 12:11 [ТС]
	SW(config)# ip source binding 0011.16DA.B49C vlan 10 192.168.10.249 interface FastEthernet 0/1 Примерно таким образом можно привязать машину к порту и IP адресу? 0

Jabbson 5906 / 3358 / 1036 Регистрация: 03.11.2009 Сообщений: 10,008
	22.02.2012, 12:23
	да, это привязка 0

Jabbson 5906 / 3358 / 1036 Регистрация: 03.11.2009 Сообщений: 10,008
	22.02.2012, 16:30
	Какой у Вас IOS? 0

Jabbson 5906 / 3358 / 1036 Регистрация: 03.11.2009 Сообщений: 10,008
	24.02.2012, 11:28
	Попробуйте обновиться. Образ, кстати, должен быть LAN Base, не Lite. 0

@Flexo 10 / 9 / 5 Регистрация: 26.02.2011 Сообщений: 150
	24.02.2012, 11:31 [ТС]
	А есть какой-нибудь мануал по обновлению? Весь конфиг упадет, все заново надо будет настраивать? А то конторка большая, и если сети не будет, то все дружной придут ко мне 0

Jabbson 5906 / 3358 / 1036 Регистрация: 03.11.2009 Сообщений: 10,008
	24.02.2012, 11:34
	Тогда можно запланировать ночные работы (по двойной оплате ) Все просто - стираете образ на флеше, заливаете новый, делаете boot system с нового образа, write mem и ребут. Для того, чтобы себя обезопасить - сделайте копию running-config. 1