Megas Опубликовано 1 сентября, 2015 (изменено) · Жалоба Столкнулся с нетривиальной задачкой, есть сеть которая носит статические внешние адреса, их много это слабо сказанно, но вот один удачливый показал что сеть нестабильна и успешно в течении длительного времени проводил arp spoofing. Для pxe у нас выдаются серые адреса, клиенты их получают, а работать не могут (при загрузке pxe меню, вместо мак адреса pxe сервера, подставлен mac атакующего), включение snooping + arp inspection ведет к тому что перестанут работать адреса со статикой, забивать все адреса статикой на коммутаторе тоже не сильно удачная идея, как можно еще бороться с arp snooping? Изменено 1 сентября, 2015 пользователем Megas Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
-Pave1- Опубликовано 1 сентября, 2015 (изменено) · Жалоба Как понимаю речь о энтерпрайзе и юзер-сегменте)) Отказаться от статики. Заменить на DHCP резервациями. Там где в этом есть реальная необходимость. Либо vlan per user + ip unnumbered. Изменено 1 сентября, 2015 пользователем -Pave1- Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martini Опубликовано 1 сентября, 2015 · Жалоба влан на юзера и аннамберед Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Megas Опубликовано 2 сентября, 2015 · Жалоба К сожалению на unnumbered и vlan per user просто не возможно перейти, это хостинг. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
-Pave1- Опубликовано 2 сентября, 2015 · Жалоба В принципе можно еще про private vlan подумать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 14 сентября, 2015 · Жалоба ACL: запретить на портах пакеты с src ip шлюза. в том числе и DHCP-ответы. Не помешает сделать изоляцию портов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...