Jump to content

Два вопроса по фильтрации ARP spoofing и DHCP

GeeZeeNburg
 Share

Recommended Posts

GeeZeeNburg

GeeZeeNburg

Posted
Posted (edited)

SNR-S2985G-24T, 7.0.3.5(R0241.0525)

 

1. Хочется задействовать arp spoofing prevention, как в D-Link. Там это просто: 

config arp_spoofing_prevention add gateway_ip 10.0.0.1 gateway_mac DE-AD-BE-EF-CA-1F ports all

Мануал к SNR предлагает запретить ARP от юзеров: 

(config)# int eth1/0/1-24
(config-if-port-range)# arp-guard ip 10.0.0.1

Но, допустим, у меня на eth1/0/25-28 могут быть как доверенные, так и недоверенные ARP-ответы. Как настроить, чтобы свитч дропал недоверенные ARP именно по связке IP+MAC?

 

2. Хочется на паре портов задействовать DHCP-сервер на свитче. IP выдаётся по маку и порту. Остальные DHCP-серверы запретить совсем.

Делаю так, конфиг дефолтный: 

(config)# service dhcp
(config)# int eth1/0/1-28
(config-if-port-range)# ip dhcp disable
(config)# ip dhcp pool test
(dhcp-test-config)# host 192.168.1.2
(dhcp-test-config)# hardware-address de-ad-be-ef-ca-1f
(config)# int eth1/0/5
(config-if-ethernet1/0/5)# no ip dhcp disable
(config)# ip dhcp snooping enable
(config)# ip dhcp snooping vlan 1
(config)# int eth1/0/1-28
(config-if-port-range)# ip dhcp snooping action blackhole
(config)# ip dhcp snooping binding enable

Работает отлично, адрес я получаю, создаётся динамическая запись с биндингом на 5 порт.

Добавляю статический биндинг, чтобы привязать адрес к порту насовсем: 

(config)# ip dhcp snooping binding user de-ad-be-ef-ca-1f address 192.168.1.2 vlan 1 interface eth1/0/5

sh ip dhcp snooping bindlng all пишет, что запись стала S вместо D, но вот свитч после замены биндинга с динамического на статический айпишник выдавать отказывается.

Команда (config-if-ethernet1/0/5)# ip dhcp snooping binding user-control vlan 1 не помогает, но к статической записи добавляется флаг L.

Что я делаю не так?

Edited by GeeZeeNburg
GeeZeeNburg

GeeZeeNburg

Posted
  • Author
Posted

Отправил письмо на support@nag.ru два дня назад, но ответа не получил. Сегодня догадался глянуть ваш MX, а там mx.yandex.net. Тогда неудивительно, ведь оно до вас просто не дошло.

Я, конечно, могу написать вам с gmail. Однако по вопросам конфигурации, как мне кажется, чтобы не отвечать всем индивидуально, лучше отвечать на форуме, чтобы это было публичной базой знаний.

Например, о команде bridge-protocol filter stp возможно узнать только на форуме, в мануале этого нет. Если бы вы в теме https://forum.nag.ru/topic/164027-vyklyuchit-bpdu/ тоже отправили бы человека в хелпдеск, то в этой теме было бы уже три вопроса :)

 

Evgeniy Rychkov

Evgeniy Rychkov

Posted
Posted

Здравствуйте.

 

Дело в том, что, возможно, потребуется обсуждение технических вопросов, предоставления конфигурации оборудования, сбор дебага и т.д..

Техническая информация может представлять из себя большой объем данных, который просто будет сложно анализировать в рамках форума. Информация может затеряться или воспринята по другому.

Для этого существует специальный сайт, в рамках которого мы сможем обсудить ваши вопросы.

 

По поводу первого вопроса: такой настройки как на D-Link нет. Как один из вариантов использовать MAC-IP аксесс лист с указанием связки  IP+MAC.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.