Jump to content
Калькуляторы

Zyxel IES1248 DSLAM и mac antispoofing спуфинг маков при конфликте IP адресов...

Доброго времени суток!

 

Изучая возможности используемых нами зухелевских дсламов (IES1248), обнаружил я птичку "mac antispoofing". По доке:

-8<---------------------------------------

При использовании функции MAC anti-spoofing порт DSL переходит в состояние Disable, если на линейной карте обнаружено дублирование MAC-записей или перемещение MAC-адреса между портами (DSL или Ethernet).

-8<---------------------------------------

 

Супер! В принципе, каждый дслам у меня в отдельном влане, поэтому на езернете он видит только маки своих брасов, пересечение маков с другими дсламами исключено (на каталисте для каждого дслама разрешены только соответствующие уникальные вланы). Но как быть с петлями у абонентов (два соседа соединяются езернетом, настраивая модемы в бридж)? Еще могут быть просто левые сетевые с совпадающими маками... Вообщем, все это может быть крайнее редко - но для спокойствия включил птичку. И оп-па! Порты один за другим в случайном порядке идут в Disabled! Что такое?!

Читаю дальше документацию от зухеля:

 

-8<---------------------------------------

Также DSLAM отключает ADSL-порт и при возникновении конфликта IP-адресов в сети (например, на компьютере, подключенном через модем, устанавливается IP-адрес, дублирующий один из IP-адресов, установленных на компьютере, подключенном на Uplink’е). После чего приходится включать порт вручную.

 

Это происходит потому, что операционная система Windows изменяет MAC-адрес источника для информирования двух сторон о конфликте IP-адресов, и в результате на коммутаторе срабатывает также функция MAC anti-spoofing.

 

Поясним, как это происходит, на следующем примере:

 

ПК1(IP1, MAC1)--(Uplink)IES-1248-51A(DSL port)--P660(Bridge Mode)--ПК2(IP2, MAC2)

 

Если вручную установить IP-адрес на ПК2 (IP2=IP1), то коммутатор IES-1248 автоматически отключит порт DSL (установит статус порта Disabled). При этом MAC-адреса ПК1 и ПК2 разные, а IP-адреса одинаковые.

 

При изменении IP-адреса в Windows операционная система отправит ARP-запрос, чтобы убедиться, что IP-адрес не конфликтует с уже существующим IP-адресом на другом компьютере.

 

ПК1 (IP1, MAC1 Enet port)<-->ПК2 (DSL port IP2, MAC2)

 

1. Сначала, когда изменяем IP-адрес ПК2 на IP1, ПК2 посылает ARP-запрос (с MAC2 Broadcast) на ПК1

 

2. Затем ПК1отправляет ARP-ответ (с MAC1 Unicast) на ПК2. Таким образом, ПК2 узнаёт о конфликте, и затем появляется в ОС окно с предупреждением.

 

3. Далее ПК2 посылает ARP-запрос(с MAC1 Broadcast) на ПК1. Теперь ПК1 узнаёт о конфликте тоже, и затем появляется окно в ОС с предупреждением.

 

На шаге 3 MAC1 уже присутствует в DSLAM на Ethernet-порту, но такой же MAC-адрес появился на порту DSL. Далее DSLAM обнаруживает дублирование MAC-адресов и срабатывает функция MAC anti-spoofing.

-8<---------------------------------------

 

НИЧЕГО не понял.... Можете попроще объяснить что происходит?

 

 

 

 

 

Share this post


Link to post
Share on other sites

Если с теорией так тяжко, может ответит кто-нибудь - из тех, кто используют зухелевские дсламы? У вас mac antispoofing включен? Порты в disabled не уходят?

Share this post


Link to post
Share on other sites
Если с теорией так тяжко, может ответит кто-нибудь - из тех, кто используют зухелевские дсламы? У вас mac antispoofing включен? Порты в disabled не уходят?

Используем. Отключен. Включена изоляция портов.

 

Share this post


Link to post
Share on other sites
Если с теорией так тяжко, может ответит кто-нибудь - из тех, кто используют зухелевские дсламы? У вас mac antispoofing включен? Порты в disabled не уходят?

Используем. Отключен. Включена изоляция портов.

Хм... а не интересно зачем эта фишка нужна? Неужто выродились на этом форуме пытливые умы? Интересная ж проблема, да и немаловажной темы (безопасности) касается!

 

Share this post


Link to post
Share on other sites

Дорогой коммунити! Я конечно понимаю, что модные темы про торрентс.ру, юторрент и чем лучше брасить или что ставить на аксесс - очень интересны и все сейчас тусуются там, но за ними Вы игнорируете очень важные (конечно имхо) но не раскрученные темы, в частности мою :-)

Мне не первый раз помогали на этом форуме и я не сомневаюсь в компетентности присутствующих, а также в том, что некоторые используют зухелевские дсламы. Поэтому непонятно безучастное отношение к тому, что может касаться безопасности ВАШЕЙ сети. Убрать галочку с непонятной опции потому как "непонятно что за херня и так работает" - как-то не по нашему...

Извиняюсь за сильный оффтоп.

Share this post


Link to post
Share on other sites

У нас был включен mac antispoofing , пришлось отключить.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this