Jump to content
Калькуляторы

JunOS and other, snooping, arp inspection

Столкнулся с нетривиальной задачкой, есть сеть которая носит статические внешние адреса, их много это слабо сказанно, но вот один удачливый показал что сеть нестабильна и успешно в течении длительного времени проводил arp spoofing.

Для pxe у нас выдаются серые адреса, клиенты их получают, а работать не могут (при загрузке pxe меню, вместо мак адреса pxe сервера, подставлен mac атакующего), включение snooping + arp inspection ведет к тому что перестанут работать адреса со статикой, забивать все адреса статикой на коммутаторе тоже не сильно удачная идея, как можно еще бороться с arp snooping?

Edited by Megas

Share this post


Link to post
Share on other sites

Как понимаю речь о энтерпрайзе и юзер-сегменте))

Отказаться от статики. Заменить на DHCP резервациями. Там где в этом есть реальная необходимость.

Либо vlan per user + ip unnumbered.

Edited by -Pave1-

Share this post


Link to post
Share on other sites

К сожалению на unnumbered и vlan per user просто не возможно перейти, это хостинг.

Share this post


Link to post
Share on other sites

В принципе можно еще про private vlan подумать.

Share this post


Link to post
Share on other sites

ACL: запретить на портах пакеты с src ip шлюза. в том числе и DHCP-ответы. Не помешает сделать изоляцию портов.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this