Anticisco http://www.anticisco.ru/forum/ |
|
работа с Port-security http://www.anticisco.ru/forum/viewtopic.php?f=9&t=1161 |
Страница 1 из 1 |
Автор: | LeeoN [ 13 ноя 2010, 11:29 ] |
Заголовок сообщения: | работа с Port-security |
Привет всем, необходимо на коммутаторах настроить Port-security допустим к порту уже подключен и работает ноут. введенны команды: telecombook(config)#interface fa 0/1 telecombook(config-if)#switchport port-security telecombook(config-if)#switchport port-security mac-address sticky telecombook(config-if)#switchport port-security maximum 1 telecombook(config-if)#switchport port-security violation restrict Ноут подключен - мак записывается в таблицу ! Все работает нормально. Теперь приходит новый сотрудник со своим ноутом и просит подключить его к этому порту ! Что нужно сделать чтоб стереть старый мак. и записать новый ? (при этом чтоб мак. записался автоматически, ручками его не вбиваем) пробовали вводить: telecombook#clear port-security dynamic interface Fa0/1 telecombook(config)#interface fa 0/1 telecombook(config-if)#sh telecombook(config-if)#no sh старый мак. стирается, а новый не не записываться ((((( Заранее всем спасибо !!! |
Автор: | solo [ 13 ноя 2010, 12:53 ] |
Заголовок сообщения: | Re: работа с Port-security |
clear port-security sticky interface F0/1? |
Автор: | LeeoN [ 13 ноя 2010, 14:00 ] |
Заголовок сообщения: | Re: работа с Port-security |
Спасибо помогло, вчера эту же команду вводили ни в какую не хотел запоминать ( Видно что-то с компом было не то ! Вопрос в продолжении темы : если за портом стоит коммутатор на котором висят 3 компа - какую команду вводить ? telecombook(config-if)#switchport port-security maximum 3 или telecombook(config-if)#switchport port-security maximum 4 мак коммутатора учитывается ? И аналогичный вопрос если за портом стоит Хаб ? |
Автор: | imperorr [ 13 ноя 2010, 14:17 ] |
Заголовок сообщения: | Re: работа с Port-security |
читай основы L2 Не учитывается. |
Автор: | Ilya [ 13 ноя 2010, 14:43 ] |
Заголовок сообщения: | Re: работа с Port-security |
imperorr писал(а): :) читай основы L2 Не учитывается. смело на самом деле. зависит от коммутатора. если управляемый - учитывать. если нет - не учитывать. |
Автор: | LeeoN [ 13 ноя 2010, 14:44 ] |
Заголовок сообщения: | Re: работа с Port-security |
Проблемы продолжаются На коммутаторе cisco 2950 IOS 12.1 (22) EA6 команда clear port-security Stiky interface Fa0/1 проходит мак адреса удаляются, все ОK ! А на боевом оборудовании коммутаторе cisco 3560 IOS 12.2 (25) SEE2 команды clear port-security Stiky interface Fa0/1 - нет !!! есть команда: clear port-security Stiky interface Fa0/1 access но после ввода этой команды маки удаляутся, а новые запоминать отказываются (((( в чем проблема ??? |
Автор: | imperorr [ 13 ноя 2010, 15:00 ] |
Заголовок сообщения: | Re: работа с Port-security |
Так даже если управляемый, пересылка траффика L2, подмены отправителя или получателя не происходит? Как управляемость коммутатора L2 влияет?:) |
Автор: | 735 [ 13 ноя 2010, 15:13 ] |
Заголовок сообщения: | Re: работа с Port-security |
а вот так попробуй: conf t int fa 3/02 shutdown no switchport port-security mac-address sticky switchport port-security mac-address sticky no shutdown end У меня тоже нет команды clear на интерфейсе |
Автор: | LeeoN [ 13 ноя 2010, 15:16 ] |
Заголовок сообщения: | Re: работа с Port-security |
imperorr писал(а): Так даже если управляемый, пересылка траффика L2, подмены отправителя или получателя не происходит? Как управляемость коммутатора L2 влияет?:) Коллеги, я допустим согласен с Ilya при связи с компом за конечным коммутатором обратный пакет от компа будет с сорсом мак. компа, а при соединении (конфигурировании) конечного коммутатора обратный пакет будет с сорсом мак. КОММУТАТОРА . И все это будет проходить через один и тот же порт промежуточного коммутатора на котором настроен единственный сорс мак. Разве нет ? ВСЕ это можно проверить эмпирическим путем - ПОДСКАЖИТЕ все таки как это заставить работать LeeoN писал(а): Проблемы продолжаются На коммутаторе cisco 2950 IOS 12.1 (22) EA6 команда clear port-security Stiky interface Fa0/1 проходит мак адреса удаляются, все ОK ! А на боевом оборудовании коммутаторе cisco 3560 IOS 12.2 (25) SEE2 команды clear port-security Stiky interface Fa0/1 - нет !!! есть команда: clear port-security Stiky interface Fa0/1 access но после ввода этой команды маки удаляутся, а новые запоминать отказываются (((( в чем проблема ??? |
Автор: | LeeoN [ 13 ноя 2010, 15:21 ] |
Заголовок сообщения: | Re: работа с Port-security |
friench писал(а): а вот так попробуй: conf t int fa 3/02 shutdown no switchport port-security mac-address sticky switchport port-security mac-address sticky no shutdown end У меня тоже нет команды clear на интерфейсе команду clear port-security нельзя вводить в режиме конфигурирования интерфейса (telecombook(config-if)#) !!!! Она вводиться в привилегированном режиме (telecombook#) Попробуй ! За совет спасибо, сейчас будем юзать ! |
Автор: | 788 [ 13 ноя 2010, 15:42 ] |
Заголовок сообщения: | Re: работа с Port-security |
Посмотри не проскакивает ли mac компа, который подключаешь, на этом же коммутаторе на других портах. Если есть удали его командой clear port-security sticky address <твой mac>. У меня тоже такая проблема была не мог понять в чем дело. |
Автор: | Ilya [ 13 ноя 2010, 15:47 ] |
Заголовок сообщения: | Re: работа с Port-security |
LeeoN писал(а): команду clear port-security нельзя вводить в режиме конфигурирования интерфейса (telecombook(config-if)#) !!!! Она вводиться в привилегированном режиме (telecombook#) Попробуй ! За совет спасибо, сейчас будем юзать ! Код: SW1#clear port-security sticky interface fa 0/1 SW1#sh ver Cisco IOS Software, C3560 Software (C3560-ADVIPSERVICESK9-M), Version 12.2(40)SE, RELEASE SOFTWARE (fc3) команда есть, после нее sticky отрабатывает нормально. по поводу управляемости коммутатора - уже ответили. |
Автор: | imperorr [ 13 ноя 2010, 16:11 ] |
Заголовок сообщения: | Re: работа с Port-security |
[Касательно управляемого] так это и так понятно, как само собой разумеющееся. А я то думал, что другое)) |
Автор: | LeeoN [ 13 ноя 2010, 16:13 ] |
Заголовок сообщения: | Re: работа с Port-security |
Ilya писал(а): команда есть, после нее sticky отрабатывает нормально. по поводу управляемости коммутатора - уже ответили. sw3506TS_62#sh version Cisco IOS Software, C3560 Software (C3560-IPBASE-M), Version 12.2(25)SEE2, RELEA SE SOFTWARE (fc1) sw3506TS_62#clear port-security sticky interface fa 0/28 % Incomplete command. sw3506TS_62#clear port-security sticky interface fa 0/28 ? access access vlan Цитата: version 12.2 no service pad service timestamps debug uptime service timestamps log uptime service password-encryption ! hostname sw3506TS_62 aaa new-model aaa authentication login default group tacacs+ local enable aaa authentication enable default group tacacs+ enable aaa authorization exec default group tacacs+ local aaa accounting exec default start-stop group tacacs+ aaa accounting commands 15 default start-stop group tacacs+ ! aaa session-id common clock timezone Msk 3 ip subnet-zero no ip domain-lookup ! errdisable recovery cause security-violation errdisable recovery interval 30 no file verify auto spanning-tree mode pvst spanning-tree extend system-id ! vlan internal allocation policy ascending buffers large min-free 300 ! interface FastEthernet0/1 switchport access vlan 60 switchport mode access ! interface FastEthernet0/2 switchport access vlan 60 switchport mode access ! interface FastEthernet0/3 description BYKOV switchport access vlan 52 switchport mode access ! interface FastEthernet0/4 switchport access vlan 60 switchport mode access ! interface FastEthernet0/5 switchport access vlan 60 switchport mode access ! interface FastEthernet0/6 switchport access vlan 60 switchport mode access ! interface FastEthernet0/7 switchport access vlan 60 switchport mode access ! interface FastEthernet0/8 switchport access vlan 60 switchport mode access switchport port-security aging time 1440 switchport port-security violation restrict switchport port-security aging type inactivity switchport port-security mac-address sticky ! interface FastEthernet0/9 switchport access vlan 60 switchport mode access ! interface FastEthernet0/10 switchport access vlan 60 switchport mode access ! interface FastEthernet0/11 switchport access vlan 60 switchport mode access ! interface FastEthernet0/12 switchport access vlan 60 switchport mode access ! interface FastEthernet0/13 switchport access vlan 60 switchport mode access ! interface FastEthernet0/14 switchport access vlan 60 switchport mode access ! interface FastEthernet0/15 switchport access vlan 60 switchport mode access ! interface FastEthernet0/16 switchport access vlan 60 switchport mode access ! interface FastEthernet0/17 switchport access vlan 60 switchport mode access ! interface FastEthernet0/18 switchport access vlan 60 switchport mode access ! interface FastEthernet0/19 switchport access vlan 60 switchport mode access ! interface FastEthernet0/20 switchport access vlan 60 switchport mode access ! interface FastEthernet0/21 switchport access vlan 60 switchport mode access ! interface FastEthernet0/22 switchport access vlan 60 switchport mode access ! interface FastEthernet0/23 switchport access vlan 60 switchport mode access ! interface FastEthernet0/24 switchport access vlan 60 switchport mode access ! interface FastEthernet0/25 switchport access vlan 60 switchport mode access switchport voice vlan 52 srr-queue bandwidth share 10 10 60 20 srr-queue bandwidth shape 10 0 0 0 mls qos trust device cisco-phone mls qos trust cos auto qos voip cisco-phone spanning-tree portfast ! interface FastEthernet0/26 switchport access vlan 60 switchport mode access ! interface FastEthernet0/27 switchport access vlan 60 switchport mode access ! interface FastEthernet0/28 switchport access vlan 60 switchport mode access switchport port-security violation restrict switchport port-security mac-address sticky ! interface FastEthernet0/29 switchport access vlan 60 switchport mode access ! interface FastEthernet0/30 switchport access vlan 60 switchport trunk encapsulation dot1q switchport trunk allowed vlan 52,60 switchport mode trunk ! interface FastEthernet0/31 switchport access vlan 60 switchport mode access ! interface FastEthernet0/32 description Lazovskiy switchport access vlan 60 switchport mode access ! interface FastEthernet0/33 switchport access vlan 60 switchport mode access ! interface FastEthernet0/34 switchport access vlan 60 switchport mode access ! interface FastEthernet0/35 switchport access vlan 60 switchport mode access ! interface FastEthernet0/36 switchport access vlan 53 switchport mode access ! interface FastEthernet0/37 switchport access vlan 60 switchport mode access ! interface FastEthernet0/38 switchport access vlan 60 switchport mode access shutdown ! interface FastEthernet0/39 switchport access vlan 60 switchport mode access ! interface FastEthernet0/40 switchport access vlan 60 switchport mode access ! interface FastEthernet0/41 switchport access vlan 60 switchport mode access ! interface FastEthernet0/42 switchport access vlan 60 switchport mode access ! interface FastEthernet0/43 switchport access vlan 60 switchport mode access ! interface FastEthernet0/44 switchport access vlan 60 switchport mode access ! interface FastEthernet0/45 switchport access vlan 60 switchport mode access ! interface FastEthernet0/46 switchport access vlan 60 switchport mode access ! interface FastEthernet0/47 switchport access vlan 60 switchport mode access ! interface FastEthernet0/48 description ELTECO UPS switchport access vlan 50 switchport mode access ! interface GigabitEthernet0/1 switchport trunk encapsulation dot1q switchport mode trunk mls qos trust cos ! interface GigabitEthernet0/2 switchport trunk encapsulation dot1q switchport mode trunk mls qos trust cos ! interface GigabitEthernet0/3 shutdown ! interface GigabitEthernet0/4 shutdown ! interface Vlan1 no ip address shutdown ! interface Vlan50 ip address 10.21.17.62 255.255.255.0 ! ip classless ip http server ip http authentication local ! snmp-server community mars RO snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart snmp-server enable traps tty snmp-server enable traps cluster snmp-server enable traps fru-ctrl snmp-server enable traps entity snmp-server enable traps cpu threshold snmp-server enable traps vtp snmp-server enable traps vlancreate snmp-server enable traps vlandelete snmp-server enable traps flash insertion removal snmp-server enable traps port-security snmp-server enable traps envmon snmp-server enable traps mac-notification snmp-server enable traps copy-config snmp-server enable traps config snmp-server enable traps hsrp snmp-server enable traps rtr snmp-server enable traps bridge newroot topologychange snmp-server enable traps stpx inconsistency root-inconsistency loop-inconsistency snmp-server enable traps syslog snmp-server enable traps vlan-membership snmp-server host 10.17.8.136 mars tacacs-server host 10.17.8.134 tacacs-server host 10.17.8.135 tacacs-server host 10.17.4.197 tacacs-server host 10.17.4.198 tacacs-server host 10.17.4.133 tacacs-server host 10.17.4.134 tacacs-server directed-request control-plane ! banner login ----------------------------------------- | Attention! | |Access to the given device is limited! | | All actions are recorded! | ----------------------------------------- | Security administrator: | |tel.: 378-9340,378-9336,378-9903 | ----------------------------------------- ! line con 0 line vty 0 4 ! ntp clock-period 36028473 ntp server 10.16.255.200 end |
Автор: | 735 [ 13 ноя 2010, 16:16 ] |
Заголовок сообщения: | Re: работа с Port-security |
В каких версиях IOSa эта команда есть?????? Код: SW#sh ver Cisco IOS Software, Catalyst 4000 L3 Switch Software (cat4000-I9S-M), Version 12.2(25)EWA4, RELEASE SOFTWARE (fc1) Код: SW#clear port-security ? dynamic Secure MAC address auto-learned by hardware SW#clear port-security |
Автор: | LeeoN [ 13 ноя 2010, 16:20 ] |
Заголовок сообщения: | Re: работа с Port-security |
friench писал(а): В каких версиях IOSa эта команда есть?????? Код: SW#sh ver Cisco IOS Software, Catalyst 4000 L3 Switch Software (cat4000-I9S-M), Version 12.2(25)EWA4, RELEASE SOFTWARE (fc1) Код: SW#clear port-security ? dynamic Secure MAC address auto-learned by hardware SW#clear port-security Неизвестно ))))) |
Автор: | LeeoN [ 15 ноя 2010, 10:10 ] |
Заголовок сообщения: | Re: работа с Port-security |
friench писал(а): В каких версиях IOSa эта команда есть?????? Код: SW#sh ver Cisco IOS Software, Catalyst 4000 L3 Switch Software (cat4000-I9S-M), Version 12.2(25)EWA4, RELEASE SOFTWARE (fc1) Код: SW#clear port-security ? dynamic Secure MAC address auto-learned by hardware SW#clear port-security Ну где же вы CiscoGuru ??? От чего зависит наличие или отсутствие команды clear port-security ... ? |
Автор: | Fedia [ 15 ноя 2010, 11:57 ] |
Заголовок сообщения: | Re: работа с Port-security |
Если нет команды clear, то остается дедовский способ: убиваем из конфига команду sw port-security mac stucky [HHH.HHH.HHH] Тогда новый МАС подцепится |
Автор: | LeeoN [ 15 ноя 2010, 15:26 ] |
Заголовок сообщения: | Re: работа с Port-security |
После долгих мучений нашелся выход !!! ))) Порядок включения port-security switchport port-security switchport port-security maximum 1 switchport port-security violation restrict switchport port-security mac-address sticky Порядок смены mac-адреса Подключаем новый комп, затем вводим : no switchport port-security mac-address sticky (удаляем sticky записи, включаем динамическую проверку и прослушивание mac адресов) при этом : w3506#show port-security add Secure Mac Address Table ------------------------------------------------------------------------ Vlan Mac Address Type Ports Remaining Age (mins) ---- ----------- ---- ----- ------------- 60 000f.fe7b.11eb SecureDynamic Fa0/28 - ------------------------------------------------------------------------ shutdown no shutdown затем вводим switchport port-security mac-address sticky (записываем mac в sticky) при этом: w3506#show port-security add Secure Mac Address Table ------------------------------------------------------------------------ Vlan Mac Address Type Ports Remaining Age (mins) ---- ----------- ---- ----- ------------- 60 000f.fe7b.11eb SecureSticky Fa0/28 - ------------------------------------------------------------------------ Теперь все работает ! Если не выключать sticky ни за что не хочет начинать проверку маков !!! Спасибо всем кто учавствовал в дискуссии !!! Проблема решена, тему можно закрыть ! |
Автор: | Fedia [ 15 ноя 2010, 16:54 ] |
Заголовок сообщения: | Re: работа с Port-security |
Ну собсно я это и советовал сделать в своем предыдущем посте. |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |