Megas Posted September 1, 2015 (edited) Столкнулся с нетривиальной задачкой, есть сеть которая носит статические внешние адреса, их много это слабо сказанно, но вот один удачливый показал что сеть нестабильна и успешно в течении длительного времени проводил arp spoofing. Для pxe у нас выдаются серые адреса, клиенты их получают, а работать не могут (при загрузке pxe меню, вместо мак адреса pxe сервера, подставлен mac атакующего), включение snooping + arp inspection ведет к тому что перестанут работать адреса со статикой, забивать все адреса статикой на коммутаторе тоже не сильно удачная идея, как можно еще бороться с arp snooping? Edited September 1, 2015 by Megas Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
-Pave1- Posted September 1, 2015 (edited) Как понимаю речь о энтерпрайзе и юзер-сегменте)) Отказаться от статики. Заменить на DHCP резервациями. Там где в этом есть реальная необходимость. Либо vlan per user + ip unnumbered. Edited September 1, 2015 by -Pave1- Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
martini Posted September 1, 2015 влан на юзера и аннамберед Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Megas Posted September 2, 2015 К сожалению на unnumbered и vlan per user просто не возможно перейти, это хостинг. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
-Pave1- Posted September 2, 2015 В принципе можно еще про private vlan подумать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dmvy Posted September 14, 2015 ACL: запретить на портах пакеты с src ip шлюза. в том числе и DHCP-ответы. Не помешает сделать изоляцию портов. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
