Архив форумов ЦИТФорума

[PashaP]

Совсем запутался. Подскажите пожалуйста, чем отличаются в Cisco значения mac-address-table secure от mac-address-table static?
Заранее спасибо

[and3008]

Все очень просто mac-address-table secure привязывает MAC к порту или VLAN-у.

mac-address-table static объявляет MAC-адрес, который может быть привязан на несколько портов и несколько сетевых протоколов (на IP отдельно, на IPX отдельно, на DECNet отдельно и т.д.)

Сейчас наверно это вряд ли кому надо, но вероятно кому-то это надо, если это есть в IOS.

[PashaP]

Понял, спасибо

Не подскажите еще такой момент:
1) Как можно привязать mac адрес к VLAN а не к порту + VLAN?
mac-address-table secure обязательным параметром хочет видеть номер порта.
2) Как можно ограничить количество MAC адресов на порту? Т.е. чтобы не подключали на порт хабы, свитчи т.п.
Значение "port security max-mac-count 1" приводит к созданию
mac-address-table secure <mac>, и соответственно привязывает порт к конкретному мак адресу.

Заранее благодарен

[and3008]

Ваши игры с ограничением по MAC являются защитой от детей.
Умный поставит на твой порт роутер с функцией NAT, а за этим роутером поставит кучу компов, хабов, свичей и прочего.

Предлагаю пересмотреть свои взгляды на защиту.

[PashaP]

[and3008]

И кем оно придумано?
Может придумщику стоит подумать над своими придумками?

Мне знакомы такие придумщики. Они видят не далее собственного носа. Если ты с настройками разберешься, то это все равно легко можно будет обойти. Напрашивается вопрос: А ваша бизнес-модель на чем делается? На кол-ве подключений или на трафике? У всех приличных людей на трафике. Ограничение по MAC - это геморой на тех.поддержку в первую голову. Поменял человек сетевуху и чего? В тех.суппорт звонить?

[PashaP]

На самом деле в данном случае речь идет о подключении всяких тупых сетевых принтеров, ip телефонов (которые про авторизацию ничего не знают). Но нужна возможность вместо них временно подключить например ноутбук и т.п.которые должны попадать в другой vlan. Поэтому и было предложено использовать динамические порты.

[and3008]

Я бы вам предложил более простое решение.
Для известных тупых устроств сделай отдельный VLAN и отдельную подсеть из которой они могут общаться только с некоторыми устройствами. Например с централизованным принт-сервером или VoiceIP-шлюзом или GateKeeper-ом.

Все неизвестные устройства автоматически чапают в другой, так называемый гостевой VLAN. И вот доступ оттуда куда-то по особому разрешению и на определенный срок.

Вы распишите процедуру подключения неизвестных устроств по шагам. Пусть она будет сперва несовершенна, но в процессе эксплуатации вы поймете что для вас лучше и модифицируете, если что. Основная задача, как я понимаю, исключить возможность подключения левых устройств к сети.