Megas Posted September 1, 2015 (edited) · Report post Столкнулся с нетривиальной задачкой, есть сеть которая носит статические внешние адреса, их много это слабо сказанно, но вот один удачливый показал что сеть нестабильна и успешно в течении длительного времени проводил arp spoofing. Для pxe у нас выдаются серые адреса, клиенты их получают, а работать не могут (при загрузке pxe меню, вместо мак адреса pxe сервера, подставлен mac атакующего), включение snooping + arp inspection ведет к тому что перестанут работать адреса со статикой, забивать все адреса статикой на коммутаторе тоже не сильно удачная идея, как можно еще бороться с arp snooping? Edited September 1, 2015 by Megas Share this post Link to post Share on other sites
-Pave1- Posted September 1, 2015 (edited) · Report post Как понимаю речь о энтерпрайзе и юзер-сегменте)) Отказаться от статики. Заменить на DHCP резервациями. Там где в этом есть реальная необходимость. Либо vlan per user + ip unnumbered. Edited September 1, 2015 by -Pave1- Share this post Link to post Share on other sites
martini Posted September 1, 2015 · Report post влан на юзера и аннамберед Share this post Link to post Share on other sites
Megas Posted September 2, 2015 · Report post К сожалению на unnumbered и vlan per user просто не возможно перейти, это хостинг. Share this post Link to post Share on other sites
-Pave1- Posted September 2, 2015 · Report post В принципе можно еще про private vlan подумать. Share this post Link to post Share on other sites
dmvy Posted September 14, 2015 · Report post ACL: запретить на портах пакеты с src ip шлюза. в том числе и DHCP-ответы. Не помешает сделать изоляцию портов. Share this post Link to post Share on other sites