JunOS and other, snooping, arp inspection - Активное оборудование Ethernet, IP, MPLS, SDN/NFV... - Форумы NAG.RU

Перейти к содержимому

Уже зарегистрированы? Войти
Войти

Запомнить меня Не рекомендуется на общедоступных компьютерах

Забыли пароль?

Войти через VK
Регистрация

Калькуляторы

Вся активность

JunOS and other, snooping, arp inspection

Ответить

Megas

Megas

Опубликовано 1 сентября, 2015 (изменено) · Жалоба

Столкнулся с нетривиальной задачкой, есть сеть которая носит статические внешние адреса, их много это слабо сказанно, но вот один удачливый показал что сеть нестабильна и успешно в течении длительного времени проводил arp spoofing.

Для pxe у нас выдаются серые адреса, клиенты их получают, а работать не могут (при загрузке pxe меню, вместо мак адреса pxe сервера, подставлен mac атакующего), включение snooping + arp inspection ведет к тому что перестанут работать адреса со статикой, забивать все адреса статикой на коммутаторе тоже не сильно удачная идея, как можно еще бороться с arp snooping?

Изменено 1 сентября, 2015 пользователем Megas

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

-Pave1-

-Pave1-

Опубликовано 1 сентября, 2015 (изменено) · Жалоба

Как понимаю речь о энтерпрайзе и юзер-сегменте))

Отказаться от статики. Заменить на DHCP резервациями. Там где в этом есть реальная необходимость.

Либо vlan per user + ip unnumbered.

Изменено 1 сентября, 2015 пользователем -Pave1-

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

martini

martini

Опубликовано 1 сентября, 2015 · Жалоба

влан на юзера и аннамберед

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

Megas

Megas

Опубликовано 2 сентября, 2015 · Жалоба

К сожалению на unnumbered и vlan per user просто не возможно перейти, это хостинг.

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

-Pave1-

-Pave1-

Опубликовано 2 сентября, 2015 · Жалоба

В принципе можно еще про private vlan подумать.

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

dmvy

dmvy

Опубликовано 14 сентября, 2015 · Жалоба

ACL: запретить на портах пакеты с src ip шлюза. в том числе и DHCP-ответы. Не помешает сделать изоляцию портов.

Поделиться сообщением

Ссылка на сообщение

Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость

Ответить в тему...

× Вставлено в виде отформатированного текста. Вставить в виде обычного текста

Разрешено не более 75 смайлов.

× Ваша ссылка была автоматически встроена. Отобразить как ссылку

× Ваш предыдущий контент был восстановлен. Очистить редактор

× Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

Изображение по ссылке

×

Подписчики 0

Перейти к списку тем Активное оборудование Ethernet, IP, MPLS, SDN/NFV...