Перейти к содержимому
Калькуляторы

Zyxel IES1248 DSLAM и mac antispoofing спуфинг маков при конфликте IP адресов...

Ответить

survivor   

survivor
Опубликовано · Жалоба

Доброго времени суток!

 

Изучая возможности используемых нами зухелевских дсламов (IES1248), обнаружил я птичку "mac antispoofing". По доке:

-8<---------------------------------------

При использовании функции MAC anti-spoofing порт DSL переходит в состояние Disable, если на линейной карте обнаружено дублирование MAC-записей или перемещение MAC-адреса между портами (DSL или Ethernet).

-8<---------------------------------------

 

Супер! В принципе, каждый дслам у меня в отдельном влане, поэтому на езернете он видит только маки своих брасов, пересечение маков с другими дсламами исключено (на каталисте для каждого дслама разрешены только соответствующие уникальные вланы). Но как быть с петлями у абонентов (два соседа соединяются езернетом, настраивая модемы в бридж)? Еще могут быть просто левые сетевые с совпадающими маками... Вообщем, все это может быть крайнее редко - но для спокойствия включил птичку. И оп-па! Порты один за другим в случайном порядке идут в Disabled! Что такое?!

Читаю дальше документацию от зухеля:

 

-8<---------------------------------------

Также DSLAM отключает ADSL-порт и при возникновении конфликта IP-адресов в сети (например, на компьютере, подключенном через модем, устанавливается IP-адрес, дублирующий один из IP-адресов, установленных на компьютере, подключенном на Uplink’е). После чего приходится включать порт вручную.

 

Это происходит потому, что операционная система Windows изменяет MAC-адрес источника для информирования двух сторон о конфликте IP-адресов, и в результате на коммутаторе срабатывает также функция MAC anti-spoofing.

 

Поясним, как это происходит, на следующем примере:

 

ПК1(IP1, MAC1)--(Uplink)IES-1248-51A(DSL port)--P660(Bridge Mode)--ПК2(IP2, MAC2)

 

Если вручную установить IP-адрес на ПК2 (IP2=IP1), то коммутатор IES-1248 автоматически отключит порт DSL (установит статус порта Disabled). При этом MAC-адреса ПК1 и ПК2 разные, а IP-адреса одинаковые.

 

При изменении IP-адреса в Windows операционная система отправит ARP-запрос, чтобы убедиться, что IP-адрес не конфликтует с уже существующим IP-адресом на другом компьютере.

 

ПК1 (IP1, MAC1 Enet port)<-->ПК2 (DSL port IP2, MAC2)

 

1. Сначала, когда изменяем IP-адрес ПК2 на IP1, ПК2 посылает ARP-запрос (с MAC2 Broadcast) на ПК1

 

2. Затем ПК1отправляет ARP-ответ (с MAC1 Unicast) на ПК2. Таким образом, ПК2 узнаёт о конфликте, и затем появляется в ОС окно с предупреждением.

 

3. Далее ПК2 посылает ARP-запрос(с MAC1 Broadcast) на ПК1. Теперь ПК1 узнаёт о конфликте тоже, и затем появляется окно в ОС с предупреждением.

 

На шаге 3 MAC1 уже присутствует в DSLAM на Ethernet-порту, но такой же MAC-адрес появился на порту DSL. Далее DSLAM обнаруживает дублирование MAC-адресов и срабатывает функция MAC anti-spoofing.

-8<---------------------------------------

 

НИЧЕГО не понял.... Можете попроще объяснить что происходит?

 

 

 

 

 

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

survivor   

survivor
Опубликовано · Жалоба

Если с теорией так тяжко, может ответит кто-нибудь - из тех, кто используют зухелевские дсламы? У вас mac antispoofing включен? Порты в disabled не уходят?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

grfmaniak   

grfmaniak
Опубликовано · Жалоба
Если с теорией так тяжко, может ответит кто-нибудь - из тех, кто используют зухелевские дсламы? У вас mac antispoofing включен? Порты в disabled не уходят?

Используем. Отключен. Включена изоляция портов.

 

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

survivor   

survivor
Опубликовано · Жалоба
Если с теорией так тяжко, может ответит кто-нибудь - из тех, кто используют зухелевские дсламы? У вас mac antispoofing включен? Порты в disabled не уходят?

Используем. Отключен. Включена изоляция портов.

Хм... а не интересно зачем эта фишка нужна? Неужто выродились на этом форуме пытливые умы? Интересная ж проблема, да и немаловажной темы (безопасности) касается!

 

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

survivor   

survivor
Опубликовано · Жалоба

Дорогой коммунити! Я конечно понимаю, что модные темы про торрентс.ру, юторрент и чем лучше брасить или что ставить на аксесс - очень интересны и все сейчас тусуются там, но за ними Вы игнорируете очень важные (конечно имхо) но не раскрученные темы, в частности мою :-)

Мне не первый раз помогали на этом форуме и я не сомневаюсь в компетентности присутствующих, а также в том, что некоторые используют зухелевские дсламы. Поэтому непонятно безучастное отношение к тому, что может касаться безопасности ВАШЕЙ сети. Убрать галочку с непонятной опции потому как "непонятно что за херня и так работает" - как-то не по нашему...

Извиняюсь за сильный оффтоп.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

MMM   

MMM
Опубликовано · Жалоба

У нас был включен mac antispoofing , пришлось отключить.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
Подписчики 0
Перейти к списку тем Активное оборудование Ethernet, IP, MPLS, SDN/NFV...