GoldenLine
Zaloguj się
Piotr Binder

Piotr Binder Specjalista IT

Temat: catalyst 2960 - problem

Witam

O Cisco ma mizerne pojęcie wiec dlatego zwracam sie z pytanie do specjalistów :)Mam takiego switcha jak w temacie i potrzebuje ustawić następującą konfigurację : chce kontrolować dostęp do portów po mac adresie ale tak, że w jakiś sposób załaduje do switcha liste 30 -40 mac adresów i obojętnie do którego portu jak podłącze pc którego mac jest na liście to bedzie przepuszczany jak jakieś urządzenie którego nie ma na liście to port się blokuje. Pytanie czy da się tak zrobić i czy jest jakś w miare automatyczna możliwość (np pilikiem) ładowania mac'ów.

Dziękuje za pomoc
Piotr B
Link do wypowiedziLink
Andrzej M.

Andrzej M. Inżynier Sieciowy,
CCIE (RS, SP) #38598

Temat: catalyst 2960 - problem

Hej,



int range fa0/1 - 24

 switchport port-security

 switchport port-security maximum 40

 switchport port-security violation restrict

 switchport port-security mac-address sticky


i później dodajesz na wszystkie porty poszczególne wpisy:



int range fa0/1 - 24

 switchport port-security mac-address sticky aaaa.bbbb.cccc


Ale to upierdliwe będzie :)

BTW liczba maximum musi być równa ilości wpisów, bo inaczej przełącznik się nauczy sam kolejnych.
Link do wypowiedziLink
Piotr Binder

Piotr Binder Specjalista IT

Temat: catalyst 2960 - problem

Dzieki za info , rozumiem ze nie ma opcji pod tytułem "załaduj mac adresy z pliku" ?
Link do wypowiedziLink
Andrzej M.

Andrzej M. Inżynier Sieciowy,
CCIE (RS, SP) #38598

Temat: catalyst 2960 - problem

Piotr Binder:
Dzieki za info , rozumiem ze nie ma opcji pod tytułem "załaduj mac adresy z pliku" ?

Nie.
Ale można to rozwiązać poprzez np komendę:

copy tftp://IP_SERWERA/nazwa_pliku running-config


która zrobi merge do aktualnej konfiguracji.
Minus jest taki, że nie usunie poprzednich wpisów, ale do tego jest komenda:

clear port-security all
Link do wypowiedziLink
Piotr Binder

Piotr Binder Specjalista IT

Temat: catalyst 2960 - problem

tzn zroumiem ze moge sobie zgrac konfiguracje w niej z "reki" wprowadzic ustawienia i ponownie zaladowac do switcha - dobrze mysle?
Link do wypowiedziLink
Andrzej M.

Andrzej M. Inżynier Sieciowy,
CCIE (RS, SP) #38598

Temat: catalyst 2960 - problem

Piotr Binder:
tzn zroumiem ze moge sobie zgrac konfiguracje w niej z "reki" wprowadzic ustawienia i ponownie zaladowac do switcha - dobrze mysle?

Miałem bardziej na myśli specjalnie spreparowany plik z komendami, które chcesz dodać/usunąć.

Kopiowanie do running configu powoduje merge konfiguracji, a nie jej nadpisanie, więc w Twoim przypadku jakiś skrypt musiałby się zatelnetować na urządzenie, wydać komendę czyszczącą wpisy, po czym skopiować zawartość pliku do running-config (niestety wpisy w nim muszą być dla każdego interfejsu osobno, ale to nie problem jeśli będziesz to generował w jakiejś pętli).Andrzej M. edytował(a) ten post dnia 26.10.09 o godzinie 15:57
Link do wypowiedziLink
Piotr Binder

Piotr Binder Specjalista IT

Temat: catalyst 2960 - problem

Troche inaczej na ten temat pomyslalem ;) Ale zrobile cos mialem gdziesj jakis backup configuracji domyslam sie ze to ten running-config i "rozebralem go" i tam w nim z tego co widze jest tekstowo wpisana konfiguracja - pytanie czy jak tam zrobic jakies poprawki zlozyc go znowy do formaty plik.jar i sprobowac zaladowac czy by nie zadzialao - pomijajac oczywisc kwestie czyszczenia poprzedniej konfiguracji bo to moza zrobic z reki
Link do wypowiedziLink

konto usunięte

Temat: catalyst 2960 - problem

Andrzej M.:
Ale to upierdliwe będzie :)

Zgadza sie, rozwiazanie zadziala, ale w konfiguracji to jakas masakra ;)
Piotr Binder
To co potrzebujesz to MAB - Mac Authentication Bypass, wdrozenie 802.1x i uwierzytelnianie nie po haslach, a po MAC.

Potrzebny bedzie zewnetrzny serwer radius, moze byc IAS, a calosc zintegrowana z AD, moze byc tez freeradius, cisco acs czy jeszcze jakis inny.

Mozna tak porobic fajne rzeczy np przydzial do roznych vlanow po mac (bez bawienia sie w vmps).

Pytanie czy Twoj sprzet to obsluzy... ale to juz cisco.com i kombinuj.

http://www.cisco.com/en/US/customer/docs/switches/lan/...

edit:
nie zwrocilem uwagi na temat - no to masz odpowiedz, sprzet wspiera te funkcjonalnosc ;]Sławomir Kawała edytował(a) ten post dnia 26.10.09 o godzinie 16:38
Link do wypowiedziLink
Piotr Binder

Piotr Binder Specjalista IT

Temat: catalyst 2960 - problem

Dzieki za pomoc - to chyba pujde jednak w kierunku autoryzacji po radiusie
Link do wypowiedziLink
Andrzej M.

Andrzej M. Inżynier Sieciowy,
CCIE (RS, SP) #38598

Temat: catalyst 2960 - problem

Sławomir Kawała:
To co potrzebujesz to MAB - Mac Authentication Bypass, wdrozenie 802.1x i uwierzytelnianie nie po haslach, a po MAC.

Zdecydowanie bardziej eleganckie rozwiązanie ;)
Link do wypowiedziLink
Tomasz K.

Tomasz K. Administrator Sieci

Temat: catalyst 2960 - problem

Tylko upewnij sie czy wszystkie karty sieciowe które będą podpiete pod port obslugujacy 802.1x beda wspieraly ten standard.
Link do wypowiedziLink

konto usunięte

Temat: catalyst 2960 - problem

Tomasz Karczewski:
Tylko upewnij sie czy wszystkie karty sieciowe które będą podpiete pod port obslugujacy 802.1x beda wspieraly ten standard.

Wlasnie nie - w przypadku MAB 802.1x ma nie byc wlaczone, musi byc timeout, jak na diagramie.


Obrazek
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj