altair Posted April 28, 2009 Posted April 28, 2009 всем доброго времени суток. Имеется много cat3560, на которых должны будут висеть корпоративщики (один порт - один корпоративщик), которым надо выдать паблик-адреса. видится 2 варианта: 1 - расточительный - no switchport + /30 в сторону кастомера паблик-адресом. Он ставит себе статический белый адрес/30 терминирующийся на 3560. И пофих на спуфинг и прочее. 2 - более экономичный, но и геморный - на свич, к примеру, /27 паблик-адресов кастомерам, шлюз - сама кошка. Если необходимо - protected ports/private vlans. НО, как бороться со спуфингом без "DHCP+IP Source Guard"? Ручным биндингом mac-ip в IP Source Guard? Гемор еще тот, плюс ко всему - получается завязанный мак/ip на порт, что не катит, т.к. корпоративщик может взять себе еще белую подсеть или сменить пограничную железяку. Неужели остается только ACL с фильтрацией source-адресов на каждый порт, в который подключается клиент? Вставить ник Quote
Nafanya Posted April 28, 2009 Posted April 28, 2009 вам жалко паблик-адресов на корпоративщиков? Вставить ник Quote
altair Posted April 28, 2009 Author Posted April 28, 2009 я же не говорю, что жалко, просто один вариант более расточительный, но менее геморный, второй - наоборот (я просто других вариантов не знаю). Конкретно по вопросу помогите... Вставить ник Quote
Stak Posted April 29, 2009 Posted April 29, 2009 Можно ещё сделать через ip unumbered /32 на абонента и добавить на каждого по статик роуту. Защита от спуфинга - частичная, т.е. к юзеру без прописаного роута трафик не пойдёт, а вот от него - может (если сам себе адрес переназначит и флудить начнёт). 3560 такое умеет. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.