Jump to content
Калькуляторы

Защита от спуфинга на с3560 без связки DHCP/IPSG? Какие варианты???

всем доброго времени суток.

 

Имеется много cat3560, на которых должны будут висеть корпоративщики (один порт - один корпоративщик), которым надо выдать паблик-адреса.

 

видится 2 варианта:

 

1 - расточительный - no switchport + /30 в сторону кастомера паблик-адресом. Он ставит себе статический белый адрес/30 терминирующийся на 3560. И пофих на спуфинг и прочее.

 

2 - более экономичный, но и геморный - на свич, к примеру, /27 паблик-адресов кастомерам, шлюз - сама кошка. Если необходимо - protected ports/private vlans. НО, как бороться со спуфингом без "DHCP+IP Source Guard"? Ручным биндингом mac-ip в IP Source Guard? Гемор еще тот, плюс ко всему - получается завязанный мак/ip на порт, что не катит, т.к. корпоративщик может взять себе еще белую подсеть или сменить пограничную железяку.

 

Неужели остается только ACL с фильтрацией source-адресов на каждый порт, в который подключается клиент?

Share this post


Link to post
Share on other sites

вам жалко паблик-адресов на корпоративщиков?

Share this post


Link to post
Share on other sites

я же не говорю, что жалко, просто один вариант более расточительный, но менее геморный, второй - наоборот (я просто других вариантов не знаю).

 

Конкретно по вопросу помогите...

Share this post


Link to post
Share on other sites

Можно ещё сделать через ip unumbered /32 на абонента и добавить на каждого по статик роуту.

Защита от спуфинга - частичная, т.е. к юзеру без прописаного роута трафик не пойдёт, а вот от него - может (если сам себе адрес переназначит и флудить начнёт).

3560 такое умеет.

Share this post


Link to post
Share on other sites

На здоровье)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this