Local Proxy ARP (или "Совсем другая история")

[ayamb]

Не раз читал на форуме дискуссии обсуждающие некоторые понятия глобального контроля сетки, в т.ч. и включающие вопросы Proxy (Gratuitous) ARP. Случалось коротко "вякать" по существу вопроса темы, а по существу коренной проблемы, приходилось пристыженно ссылаться на ненашутку покрытую тайной "совсем другую историю". :)

"Совсем другая история" №5: Preventing MAC Address Resolution Between Hosts Within a Subnet. (В основном про Proxy ARP.) (Вопросы многих стандартов и методик настроек сетей обойдены стороной наиосторожнейшим образом.) :) (Allied Telesis AT-8948, AT-9924, AT-RP24, AT-AR450S, AT-AR750S, etc..)

A lets you stop MAC address resolution between hosts within an interface’s subnet. Local proxy ARP ensures that devices within a subnet cannot send traffic that bypasses the router or switch. This lets you monitor, filter, and control traffic between devices in the same subnet. Local proxy ARP extends proxy ARP by intercepting and responding to ARP requests between hosts within a subnet. It responds to the ARP requests with the router or switch’s own MAC address details instead of those from the destination host. This stops hosts from learning the MAC address of other hosts within its subnet. When local proxy ARP is operating on an interface, the router or switch does not generate or forward any ICMP-Redirect messages on that interface... Ой блииин... я какую-то пургу погнал... :)... Что такое Proxy ARP знают все,..

set ip int=vlan432 PROxyarp=on

...ну, или почти все... :) ARP-разрешение в сетке L3, где есть факт подключения единичного хоста на единичный порт коммутатора L3, теряет всякий смысл, т.к. общаться с любым другим хостом он все равно начнет через этот самый порт коммутатора. Возникает команда:

set ip int=vlan432 PROxyarp=local

Это говорит о следующем: Хост, подключенные к порту коммутатора, относящийся к сетке vlan=432, будет иметь в таблице один единственный MAC-адрес для всех записей ARP cache, касающихся всех активных локальных IP соседей по сетке vlan432, а если еще точнее, то - MAC-адрес того самого коммутатора. :) Если в этот самый единичный (якобы) порт коммутатора (или маршрутизатора), включен неуправляемый switch со множеством клиентов, с разными IP одной локальной сетки,.. то... (:/) - то мало что изменится... :)

(с) Документация. AT-x900, AT-AR45x, AT-AR7xx, AT-RPxx. Chapter 21: IP(Internet Protocol) 17/234.

Коментарий (утрированный): Возможность тотально контролировать всю сетку, включая локальную (читай - домовую) - на лицо... (или - на морду?.. :/) ...Если на порту коммутатора (или маршрутизатора) установлен HUB с кучкой клиентов, - то все зависит от "ловкости рук" настройщика :)

P.S. Кстати,... если таким образом настроенными двумя коммутаторами (маршрутизаторами), связать две части одной локалки в разных частях света (читай - города),... то на участке между этими двумя устройствами, снифером можно будет отловить всего лишь только два MAC-адреса...

[vIv]

Домовую - в пределах хаба - нельзя. Может получиться, но совершенно не обязано.