Автор |
Сообщение |
LeeoN
Зарегистрирован: 20 янв 2010, 10:53 Сообщения: 103
|
Привет всем, необходимо на коммутаторах настроить Port-security
допустим к порту уже подключен и работает ноут.
введенны команды:
telecombook(config)#interface fa 0/1 telecombook(config-if)#switchport port-security telecombook(config-if)#switchport port-security mac-address sticky telecombook(config-if)#switchport port-security maximum 1 telecombook(config-if)#switchport port-security violation restrict
Ноут подключен - мак записывается в таблицу ! Все работает нормально.
Теперь приходит новый сотрудник со своим ноутом и просит подключить его к этому порту !
Что нужно сделать чтоб стереть старый мак. и записать новый ? (при этом чтоб мак. записался автоматически, ручками его не вбиваем)
пробовали вводить:
telecombook#clear port-security dynamic interface Fa0/1 telecombook(config)#interface fa 0/1 telecombook(config-if)#sh telecombook(config-if)#no sh
старый мак. стирается, а новый не не записываться (((((
Заранее всем спасибо !!!
|
13 ноя 2010, 11:29 |
|
|
solo
Зарегистрирован: 17 ноя 2008, 21:02 Сообщения: 200
|
clear port-security sticky interface F0/1?
|
13 ноя 2010, 12:53 |
|
|
LeeoN
Зарегистрирован: 20 янв 2010, 10:53 Сообщения: 103
|
Спасибо помогло, вчера эту же команду вводили ни в какую не хотел запоминать ( Видно что-то с компом было не то !
Вопрос в продолжении темы : если за портом стоит коммутатор на котором висят 3 компа - какую команду вводить ? telecombook(config-if)#switchport port-security maximum 3 или telecombook(config-if)#switchport port-security maximum 4
мак коммутатора учитывается ? И аналогичный вопрос если за портом стоит Хаб ?
|
13 ноя 2010, 14:00 |
|
|
imperorr
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 4519
|
читай основы L2 Не учитывается.
|
13 ноя 2010, 14:17 |
|
|
Ilya
Зарегистрирован: 20 окт 2009, 18:55 Сообщения: 962
|
imperorr писал(а): :) читай основы L2 Не учитывается. смело на самом деле. зависит от коммутатора. если управляемый - учитывать. если нет - не учитывать.
|
13 ноя 2010, 14:43 |
|
|
LeeoN
Зарегистрирован: 20 янв 2010, 10:53 Сообщения: 103
|
Проблемы продолжаются На коммутаторе cisco 2950 IOS 12.1 (22) EA6 команда clear port-security Stiky interface Fa0/1 проходит мак адреса удаляются, все ОK !
А на боевом оборудовании коммутаторе cisco 3560 IOS 12.2 (25) SEE2
команды
clear port-security Stiky interface Fa0/1 - нет !!! есть команда:
clear port-security Stiky interface Fa0/1 access
но после ввода этой команды маки удаляутся, а новые запоминать отказываются ((((
в чем проблема ???
|
13 ноя 2010, 14:44 |
|
|
imperorr
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 4519
|
Так даже если управляемый, пересылка траффика L2, подмены отправителя или получателя не происходит?
Как управляемость коммутатора L2 влияет?:)
|
13 ноя 2010, 15:00 |
|
|
735
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 33
|
а вот так попробуй:
conf t int fa 3/02 shutdown no switchport port-security mac-address sticky switchport port-security mac-address sticky no shutdown end
У меня тоже нет команды clear на интерфейсе
|
13 ноя 2010, 15:13 |
|
|
LeeoN
Зарегистрирован: 20 янв 2010, 10:53 Сообщения: 103
|
imperorr писал(а): Так даже если управляемый, пересылка траффика L2, подмены отправителя или получателя не происходит?
Как управляемость коммутатора L2 влияет?:) Коллеги, я допустим согласен с Ilya при связи с компом за конечным коммутатором обратный пакет от компа будет с сорсом мак. компа, а при соединении (конфигурировании) конечного коммутатора обратный пакет будет с сорсом мак. КОММУТАТОРА . И все это будет проходить через один и тот же порт промежуточного коммутатора на котором настроен единственный сорс мак. Разве нет ? ВСЕ это можно проверить эмпирическим путем - ПОДСКАЖИТЕ все таки как это заставить работать LeeoN писал(а): Проблемы продолжаются На коммутаторе cisco 2950 IOS 12.1 (22) EA6 команда clear port-security Stiky interface Fa0/1
проходит мак адреса удаляются, все ОK !
А на боевом оборудовании коммутаторе cisco 3560 IOS 12.2 (25) SEE2
команды
clear port-security Stiky interface Fa0/1 - нет !!! есть команда:
clear port-security Stiky interface Fa0/1 access
но после ввода этой команды маки удаляутся, а новые запоминать отказываются ((((
в чем проблема ???
|
13 ноя 2010, 15:16 |
|
|
LeeoN
Зарегистрирован: 20 янв 2010, 10:53 Сообщения: 103
|
friench писал(а): а вот так попробуй:
conf t int fa 3/02 shutdown no switchport port-security mac-address sticky switchport port-security mac-address sticky no shutdown end
У меня тоже нет команды clear на интерфейсе команду clear port-security нельзя вводить в режиме конфигурирования интерфейса (telecombook(config-if)#) !!!! Она вводиться в привилегированном режиме (telecombook#) Попробуй ! За совет спасибо, сейчас будем юзать !
|
13 ноя 2010, 15:21 |
|
|
788
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 40
|
Посмотри не проскакивает ли mac компа, который подключаешь, на этом же коммутаторе на других портах. Если есть удали его командой clear port-security sticky address <твой mac>. У меня тоже такая проблема была не мог понять в чем дело.
|
13 ноя 2010, 15:42 |
|
|
Ilya
Зарегистрирован: 20 окт 2009, 18:55 Сообщения: 962
|
LeeoN писал(а): команду clear port-security нельзя вводить в режиме конфигурирования интерфейса (telecombook(config-if)#) !!!! Она вводиться в привилегированном режиме (telecombook#) Попробуй !
За совет спасибо, сейчас будем юзать ! Код: SW1#clear port-security sticky interface fa 0/1 SW1#sh ver Cisco IOS Software, C3560 Software (C3560-ADVIPSERVICESK9-M), Version 12.2(40)SE, RELEASE SOFTWARE (fc3) команда есть, после нее sticky отрабатывает нормально. по поводу управляемости коммутатора - уже ответили.
|
13 ноя 2010, 15:47 |
|
|
imperorr
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 4519
|
[Касательно управляемого] так это и так понятно, как само собой разумеющееся. А я то думал, что другое))
|
13 ноя 2010, 16:11 |
|
|
LeeoN
Зарегистрирован: 20 янв 2010, 10:53 Сообщения: 103
|
Ilya писал(а): команда есть, после нее sticky отрабатывает нормально. по поводу управляемости коммутатора - уже ответили. sw3506TS_62#sh version Cisco IOS Software, C3560 Software (C3560-IPBASE-M), Version 12.2(25)SEE2, RELEA SE SOFTWARE (fc1) sw3506TS_62#clear port-security sticky interface fa 0/28 % Incomplete command. sw3506TS_62#clear port-security sticky interface fa 0/28 ? access access vlan Цитата: version 12.2 no service pad service timestamps debug uptime service timestamps log uptime service password-encryption ! hostname sw3506TS_62 aaa new-model aaa authentication login default group tacacs+ local enable aaa authentication enable default group tacacs+ enable aaa authorization exec default group tacacs+ local aaa accounting exec default start-stop group tacacs+ aaa accounting commands 15 default start-stop group tacacs+ ! aaa session-id common clock timezone Msk 3 ip subnet-zero no ip domain-lookup ! errdisable recovery cause security-violation errdisable recovery interval 30 no file verify auto spanning-tree mode pvst spanning-tree extend system-id ! vlan internal allocation policy ascending buffers large min-free 300 ! interface FastEthernet0/1 switchport access vlan 60 switchport mode access ! interface FastEthernet0/2 switchport access vlan 60 switchport mode access ! interface FastEthernet0/3 description BYKOV switchport access vlan 52 switchport mode access ! interface FastEthernet0/4 switchport access vlan 60 switchport mode access ! interface FastEthernet0/5 switchport access vlan 60 switchport mode access ! interface FastEthernet0/6 switchport access vlan 60 switchport mode access ! interface FastEthernet0/7 switchport access vlan 60 switchport mode access ! interface FastEthernet0/8 switchport access vlan 60 switchport mode access switchport port-security aging time 1440 switchport port-security violation restrict switchport port-security aging type inactivity switchport port-security mac-address sticky ! interface FastEthernet0/9 switchport access vlan 60 switchport mode access ! interface FastEthernet0/10 switchport access vlan 60 switchport mode access ! interface FastEthernet0/11 switchport access vlan 60 switchport mode access ! interface FastEthernet0/12 switchport access vlan 60 switchport mode access ! interface FastEthernet0/13 switchport access vlan 60 switchport mode access ! interface FastEthernet0/14 switchport access vlan 60 switchport mode access ! interface FastEthernet0/15 switchport access vlan 60 switchport mode access ! interface FastEthernet0/16 switchport access vlan 60 switchport mode access ! interface FastEthernet0/17 switchport access vlan 60 switchport mode access ! interface FastEthernet0/18 switchport access vlan 60 switchport mode access ! interface FastEthernet0/19 switchport access vlan 60 switchport mode access ! interface FastEthernet0/20 switchport access vlan 60 switchport mode access ! interface FastEthernet0/21 switchport access vlan 60 switchport mode access ! interface FastEthernet0/22 switchport access vlan 60 switchport mode access ! interface FastEthernet0/23 switchport access vlan 60 switchport mode access ! interface FastEthernet0/24 switchport access vlan 60 switchport mode access ! interface FastEthernet0/25 switchport access vlan 60 switchport mode access switchport voice vlan 52 srr-queue bandwidth share 10 10 60 20 srr-queue bandwidth shape 10 0 0 0 mls qos trust device cisco-phone mls qos trust cos auto qos voip cisco-phone spanning-tree portfast ! interface FastEthernet0/26 switchport access vlan 60 switchport mode access ! interface FastEthernet0/27 switchport access vlan 60 switchport mode access ! interface FastEthernet0/28 switchport access vlan 60 switchport mode access switchport port-security violation restrict switchport port-security mac-address sticky ! interface FastEthernet0/29 switchport access vlan 60 switchport mode access ! interface FastEthernet0/30 switchport access vlan 60 switchport trunk encapsulation dot1q switchport trunk allowed vlan 52,60 switchport mode trunk ! interface FastEthernet0/31 switchport access vlan 60 switchport mode access ! interface FastEthernet0/32 description Lazovskiy switchport access vlan 60 switchport mode access ! interface FastEthernet0/33 switchport access vlan 60 switchport mode access ! interface FastEthernet0/34 switchport access vlan 60 switchport mode access ! interface FastEthernet0/35 switchport access vlan 60 switchport mode access ! interface FastEthernet0/36 switchport access vlan 53 switchport mode access ! interface FastEthernet0/37 switchport access vlan 60 switchport mode access ! interface FastEthernet0/38 switchport access vlan 60 switchport mode access shutdown ! interface FastEthernet0/39 switchport access vlan 60 switchport mode access ! interface FastEthernet0/40 switchport access vlan 60 switchport mode access ! interface FastEthernet0/41 switchport access vlan 60 switchport mode access ! interface FastEthernet0/42 switchport access vlan 60 switchport mode access ! interface FastEthernet0/43 switchport access vlan 60 switchport mode access ! interface FastEthernet0/44 switchport access vlan 60 switchport mode access ! interface FastEthernet0/45 switchport access vlan 60 switchport mode access ! interface FastEthernet0/46 switchport access vlan 60 switchport mode access ! interface FastEthernet0/47 switchport access vlan 60 switchport mode access ! interface FastEthernet0/48 description ELTECO UPS switchport access vlan 50 switchport mode access ! interface GigabitEthernet0/1 switchport trunk encapsulation dot1q switchport mode trunk mls qos trust cos ! interface GigabitEthernet0/2 switchport trunk encapsulation dot1q switchport mode trunk mls qos trust cos ! interface GigabitEthernet0/3 shutdown ! interface GigabitEthernet0/4 shutdown ! interface Vlan1 no ip address shutdown ! interface Vlan50 ip address 10.21.17.62 255.255.255.0 ! ip classless ip http server ip http authentication local ! snmp-server community mars RO snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart snmp-server enable traps tty snmp-server enable traps cluster snmp-server enable traps fru-ctrl snmp-server enable traps entity snmp-server enable traps cpu threshold snmp-server enable traps vtp snmp-server enable traps vlancreate snmp-server enable traps vlandelete snmp-server enable traps flash insertion removal snmp-server enable traps port-security snmp-server enable traps envmon snmp-server enable traps mac-notification snmp-server enable traps copy-config snmp-server enable traps config snmp-server enable traps hsrp snmp-server enable traps rtr snmp-server enable traps bridge newroot topologychange snmp-server enable traps stpx inconsistency root-inconsistency loop-inconsistency snmp-server enable traps syslog snmp-server enable traps vlan-membership snmp-server host 10.17.8.136 mars tacacs-server host 10.17.8.134 tacacs-server host 10.17.8.135 tacacs-server host 10.17.4.197 tacacs-server host 10.17.4.198 tacacs-server host 10.17.4.133 tacacs-server host 10.17.4.134 tacacs-server directed-request
control-plane ! banner login ----------------------------------------- | Attention! | |Access to the given device is limited! | | All actions are recorded! | ----------------------------------------- | Security administrator: | |tel.: 378-9340,378-9336,378-9903 | ----------------------------------------- ! line con 0 line vty 0 4 ! ntp clock-period 36028473 ntp server 10.16.255.200 end
Последний раз редактировалось LeeoN 13 ноя 2010, 16:19, всего редактировалось 2 раз(а).
|
13 ноя 2010, 16:13 |
|
|
735
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 33
|
В каких версиях IOSa эта команда есть?????? Код: SW#sh ver Cisco IOS Software, Catalyst 4000 L3 Switch Software (cat4000-I9S-M), Version 12.2(25)EWA4, RELEASE SOFTWARE (fc1)
Код: SW#clear port-security ? dynamic Secure MAC address auto-learned by hardware SW#clear port-security
|
13 ноя 2010, 16:16 |
|
|
LeeoN
Зарегистрирован: 20 янв 2010, 10:53 Сообщения: 103
|
friench писал(а): В каких версиях IOSa эта команда есть?????? Код: SW#sh ver Cisco IOS Software, Catalyst 4000 L3 Switch Software (cat4000-I9S-M), Version 12.2(25)EWA4, RELEASE SOFTWARE (fc1)
Код: SW#clear port-security ? dynamic Secure MAC address auto-learned by hardware SW#clear port-security
Неизвестно )))))
|
13 ноя 2010, 16:20 |
|
|
LeeoN
Зарегистрирован: 20 янв 2010, 10:53 Сообщения: 103
|
friench писал(а): В каких версиях IOSa эта команда есть?????? Код: SW#sh ver Cisco IOS Software, Catalyst 4000 L3 Switch Software (cat4000-I9S-M), Version 12.2(25)EWA4, RELEASE SOFTWARE (fc1)
Код: SW#clear port-security ? dynamic Secure MAC address auto-learned by hardware SW#clear port-security
Ну где же вы CiscoGuru ??? От чего зависит наличие или отсутствие команды clear port-security ... ?
|
15 ноя 2010, 10:10 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Если нет команды clear, то остается дедовский способ: убиваем из конфига команду sw port-security mac stucky [HHH.HHH.HHH]
Тогда новый МАС подцепится
|
15 ноя 2010, 11:57 |
|
|
LeeoN
Зарегистрирован: 20 янв 2010, 10:53 Сообщения: 103
|
После долгих мучений нашелся выход !!! )))
Порядок включения port-security
switchport port-security switchport port-security maximum 1 switchport port-security violation restrict switchport port-security mac-address sticky
Порядок смены mac-адреса Подключаем новый комп, затем вводим :
no switchport port-security mac-address sticky (удаляем sticky записи, включаем динамическую проверку и прослушивание mac адресов) при этом :
w3506#show port-security add Secure Mac Address Table ------------------------------------------------------------------------ Vlan Mac Address Type Ports Remaining Age (mins) ---- ----------- ---- ----- ------------- 60 000f.fe7b.11eb SecureDynamic Fa0/28 - ------------------------------------------------------------------------
shutdown
no shutdown
затем вводим
switchport port-security mac-address sticky (записываем mac в sticky) при этом:
w3506#show port-security add Secure Mac Address Table ------------------------------------------------------------------------ Vlan Mac Address Type Ports Remaining Age (mins) ---- ----------- ---- ----- ------------- 60 000f.fe7b.11eb SecureSticky Fa0/28 - ------------------------------------------------------------------------
Теперь все работает !
Если не выключать sticky ни за что не хочет начинать проверку маков !!!
Спасибо всем кто учавствовал в дискуссии !!!
Проблема решена, тему можно закрыть !
|
15 ноя 2010, 15:26 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Ну собсно я это и советовал сделать в своем предыдущем посте.
|
15 ноя 2010, 16:54 |
|
|