Перейти к содержимому
Калькуляторы

Защита от спуфинга на с3560 без связки DHCP/IPSG? Какие варианты???

всем доброго времени суток.

 

Имеется много cat3560, на которых должны будут висеть корпоративщики (один порт - один корпоративщик), которым надо выдать паблик-адреса.

 

видится 2 варианта:

 

1 - расточительный - no switchport + /30 в сторону кастомера паблик-адресом. Он ставит себе статический белый адрес/30 терминирующийся на 3560. И пофих на спуфинг и прочее.

 

2 - более экономичный, но и геморный - на свич, к примеру, /27 паблик-адресов кастомерам, шлюз - сама кошка. Если необходимо - protected ports/private vlans. НО, как бороться со спуфингом без "DHCP+IP Source Guard"? Ручным биндингом mac-ip в IP Source Guard? Гемор еще тот, плюс ко всему - получается завязанный мак/ip на порт, что не катит, т.к. корпоративщик может взять себе еще белую подсеть или сменить пограничную железяку.

 

Неужели остается только ACL с фильтрацией source-адресов на каждый порт, в который подключается клиент?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вам жалко паблик-адресов на корпоративщиков?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

я же не говорю, что жалко, просто один вариант более расточительный, но менее геморный, второй - наоборот (я просто других вариантов не знаю).

 

Конкретно по вопросу помогите...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Можно ещё сделать через ip unumbered /32 на абонента и добавить на каждого по статик роуту.

Защита от спуфинга - частичная, т.е. к юзеру без прописаного роута трафик не пойдёт, а вот от него - может (если сам себе адрес переназначит и флудить начнёт).

3560 такое умеет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На здоровье)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.