Đối với workstation có IP là 192.168.3.5 vá MAC address là ff.e3.34.67.c2.b2 , thì chỉ cho phép kết nói vào port interface fa0/8.

Yêu cầu : Không dùng Accesslist !

int fa0/8
switchport port-security mac-address ff.e3.34.67.c2.b2

Bestirboy hấp tấp quá rồi :). Đọc kỷ câu hỏi lại đi à :D.

Nếu dùng Access list thì dzầy có được ko:

interface Fa0/8
switchport mode access
switchport port-security mac-address xxx
ip access-group 1 in

access-list 1 permit 192.168.3.5

Còn nếu không dùng ACL chẳng lẻ dùng static arp, hỏng bít việc cấu hình VLAN có ảnh hưởng gì ko? :roll:

Neo nói gần đúng.

Dùng static arp kết hợp với Port Security.

Cấu hình Vlan có ảnh hưởng gì là sao ? :D

ACL: layer 3, static arp: layer 2

Việc sử dụng static arp chỉ apply lên bản thân switch access port, liệu có ảnh hưởng gì đến việc routing khi 2 host đều sử dụng static arp trên các VLAN khác nhau?

Chào các bạn,

Câu hỏi này rất nhiều người đã gặp và cũng được thảo luận rất nhiều, nhưng cuối cùng hình như đây cũng là một điển hình của việc phức tạp hoá vấn đề - rất nhiều người mắc phải.

Với câu hỏi này, phần tiêu đề thường được ghi là (Catalyst) Security, và theo proctor mình nói chuyện thì người đó cho rằng với từ Security, mình nên liên tưởng đến một chức năng nào đó có liên quan đến security. Mình có hỏi thêm rằng, có khi nào thông tin đưa ra là quá dư không, proctor này trả lời là có khả năng, và có thể mình không cần dùng hết dữ liệu họ đã cho (nếu dùng port security thì chỉ cần địa chỉ MAC).

Qua phần trao đổi, câu trả lời của mình lúc đó là port security (với địa chỉ MAC đã cho, quên đi địa chỉ IP) và khai báo thêm số địa chỉ MAC tối đa là 1. Rất tiếc là mình không biết kết quả cụ thể của câu này (vì lần thi đó mình không được rớt :P) nhưng mình có tham khảo anh Đặng Nam Sơn, CCIE 12445 thì có đợt thi anh ấy làm giống như vậy và được 100% điểm phần đó.

Như thế, cho câu hỏi của bạn TGA, thì port security (với địa chỉ MAC đã cho), kết hợp với số địa chỉ MAC tối đa bằng 1 là câu tra lời đúng.

Cám ơn rất nhiều!

Anh An, có lẻ nó cho dư dử kiện thật.
Nhưng trong trường hợp nó khẳng định phải có cả IP thì sao? Mặc dù câu hỏi không thực tế, và phức tạp hóa vấn đề, nhưng kỷ thuật vẩn là kỷ thuật, thi vẩn là thi á.

Anh trả lời dùng Port security thì không đáp ứng được vế địa chỉ IP rồi.

Gỏ trong Interface mode :

port security max-mac-table 1 <--- 1 MAC only

Thanks,

Như vậy đáp án cho câu hỏi này là:

interface Fa0/8
switchport port-security
switchport port-security max-mac-table 1
switchport port-security mac-address ffe3.3467.c2b2

arp 192.168.3.5 ffe3.3467.c2b2

Right?

Có rất nhiều người đồng ý với giải pháp của Neo, nhưng hình như chưa ai thử thành công cái ARP này thì phải.

Mình chưa có dịp thử cấu hình này, có ai đó thử giúp nha. Sau đó thử đổi IP của máy tính với địa chỉ MAC như trên xem có chạy được không.

Chúc thành công!

Anh An nói đúng.
Có 2 trường hớp
1 - Nhớ lại nguyên tắc của Switch, nếu em có port A và port B, 2 workstation cắm vô 2 port đó. Thì cấu hình trên sẽ không quan tâm đến IP của 2 port đó đâu. Nếu có cầu hình MAC security thì cũng chỉ dừng lại ở MAC, arp không có ý nghỉa gì ở đât.

2 - Nếu bạn dùng switch đó nối vào một switch or 1 workstation khác, với cấu hình như trên , bạn dùng switch đó TELNET đi đến switch kia hoặc workstation, hoặc dùng ping .v.v. thì .... không biết được không nhỉ ?

TGA,

Port security chỉ áp dụng cho các traffic được switch qua port đó.

Trong câu hỏi số 2, khi telnet vào một switch khác, port security không có tác dụng.

cám ơn,

Do you vnpro?