Jump to content
Калькуляторы

Защита от спуфинга на с3560 без связки DHCP/IPSG? Какие варианты???

всем доброго времени суток.

 

Имеется много cat3560, на которых должны будут висеть корпоративщики (один порт - один корпоративщик), которым надо выдать паблик-адреса.

 

видится 2 варианта:

 

1 - расточительный - no switchport + /30 в сторону кастомера паблик-адресом. Он ставит себе статический белый адрес/30 терминирующийся на 3560. И пофих на спуфинг и прочее.

 

2 - более экономичный, но и геморный - на свич, к примеру, /27 паблик-адресов кастомерам, шлюз - сама кошка. Если необходимо - protected ports/private vlans. НО, как бороться со спуфингом без "DHCP+IP Source Guard"? Ручным биндингом mac-ip в IP Source Guard? Гемор еще тот, плюс ко всему - получается завязанный мак/ip на порт, что не катит, т.к. корпоративщик может взять себе еще белую подсеть или сменить пограничную железяку.

 

Неужели остается только ACL с фильтрацией source-адресов на каждый порт, в который подключается клиент?

Share this post


Link to post
Share on other sites

я же не говорю, что жалко, просто один вариант более расточительный, но менее геморный, второй - наоборот (я просто других вариантов не знаю).

 

Конкретно по вопросу помогите...

Share this post


Link to post
Share on other sites

Можно ещё сделать через ip unumbered /32 на абонента и добавить на каждого по статик роуту.

Защита от спуфинга - частичная, т.е. к юзеру без прописаного роута трафик не пойдёт, а вот от него - может (если сам себе адрес переназначит и флудить начнёт).

3560 такое умеет.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.