altair Опубликовано 28 апреля, 2009 · Жалоба всем доброго времени суток. Имеется много cat3560, на которых должны будут висеть корпоративщики (один порт - один корпоративщик), которым надо выдать паблик-адреса. видится 2 варианта: 1 - расточительный - no switchport + /30 в сторону кастомера паблик-адресом. Он ставит себе статический белый адрес/30 терминирующийся на 3560. И пофих на спуфинг и прочее. 2 - более экономичный, но и геморный - на свич, к примеру, /27 паблик-адресов кастомерам, шлюз - сама кошка. Если необходимо - protected ports/private vlans. НО, как бороться со спуфингом без "DHCP+IP Source Guard"? Ручным биндингом mac-ip в IP Source Guard? Гемор еще тот, плюс ко всему - получается завязанный мак/ip на порт, что не катит, т.к. корпоративщик может взять себе еще белую подсеть или сменить пограничную железяку. Неужели остается только ACL с фильтрацией source-адресов на каждый порт, в который подключается клиент? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nafanya Опубликовано 28 апреля, 2009 · Жалоба вам жалко паблик-адресов на корпоративщиков? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
altair Опубликовано 28 апреля, 2009 · Жалоба я же не говорю, что жалко, просто один вариант более расточительный, но менее геморный, второй - наоборот (я просто других вариантов не знаю). Конкретно по вопросу помогите... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 29 апреля, 2009 · Жалоба Можно ещё сделать через ip unumbered /32 на абонента и добавить на каждого по статик роуту. Защита от спуфинга - частичная, т.е. к юзеру без прописаного роута трафик не пойдёт, а вот от него - может (если сам себе адрес переназначит и флудить начнёт). 3560 такое умеет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
altair Опубликовано 29 апреля, 2009 · Жалоба спасибо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 29 апреля, 2009 · Жалоба На здоровье) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...