survivor Опубликовано 25 февраля, 2010 · Жалоба Доброго времени суток! Изучая возможности используемых нами зухелевских дсламов (IES1248), обнаружил я птичку "mac antispoofing". По доке: -8<--------------------------------------- При использовании функции MAC anti-spoofing порт DSL переходит в состояние Disable, если на линейной карте обнаружено дублирование MAC-записей или перемещение MAC-адреса между портами (DSL или Ethernet). -8<--------------------------------------- Супер! В принципе, каждый дслам у меня в отдельном влане, поэтому на езернете он видит только маки своих брасов, пересечение маков с другими дсламами исключено (на каталисте для каждого дслама разрешены только соответствующие уникальные вланы). Но как быть с петлями у абонентов (два соседа соединяются езернетом, настраивая модемы в бридж)? Еще могут быть просто левые сетевые с совпадающими маками... Вообщем, все это может быть крайнее редко - но для спокойствия включил птичку. И оп-па! Порты один за другим в случайном порядке идут в Disabled! Что такое?! Читаю дальше документацию от зухеля: -8<--------------------------------------- Также DSLAM отключает ADSL-порт и при возникновении конфликта IP-адресов в сети (например, на компьютере, подключенном через модем, устанавливается IP-адрес, дублирующий один из IP-адресов, установленных на компьютере, подключенном на Uplink’е). После чего приходится включать порт вручную. Это происходит потому, что операционная система Windows изменяет MAC-адрес источника для информирования двух сторон о конфликте IP-адресов, и в результате на коммутаторе срабатывает также функция MAC anti-spoofing. Поясним, как это происходит, на следующем примере: ПК1(IP1, MAC1)--(Uplink)IES-1248-51A(DSL port)--P660(Bridge Mode)--ПК2(IP2, MAC2) Если вручную установить IP-адрес на ПК2 (IP2=IP1), то коммутатор IES-1248 автоматически отключит порт DSL (установит статус порта Disabled). При этом MAC-адреса ПК1 и ПК2 разные, а IP-адреса одинаковые. При изменении IP-адреса в Windows операционная система отправит ARP-запрос, чтобы убедиться, что IP-адрес не конфликтует с уже существующим IP-адресом на другом компьютере. ПК1 (IP1, MAC1 Enet port)<-->ПК2 (DSL port IP2, MAC2) 1. Сначала, когда изменяем IP-адрес ПК2 на IP1, ПК2 посылает ARP-запрос (с MAC2 Broadcast) на ПК1 2. Затем ПК1отправляет ARP-ответ (с MAC1 Unicast) на ПК2. Таким образом, ПК2 узнаёт о конфликте, и затем появляется в ОС окно с предупреждением. 3. Далее ПК2 посылает ARP-запрос(с MAC1 Broadcast) на ПК1. Теперь ПК1 узнаёт о конфликте тоже, и затем появляется окно в ОС с предупреждением. На шаге 3 MAC1 уже присутствует в DSLAM на Ethernet-порту, но такой же MAC-адрес появился на порту DSL. Далее DSLAM обнаруживает дублирование MAC-адресов и срабатывает функция MAC anti-spoofing. -8<--------------------------------------- НИЧЕГО не понял.... Можете попроще объяснить что происходит? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
survivor Опубликовано 26 февраля, 2010 · Жалоба Если с теорией так тяжко, может ответит кто-нибудь - из тех, кто используют зухелевские дсламы? У вас mac antispoofing включен? Порты в disabled не уходят? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grfmaniak Опубликовано 27 февраля, 2010 · Жалоба Если с теорией так тяжко, может ответит кто-нибудь - из тех, кто используют зухелевские дсламы? У вас mac antispoofing включен? Порты в disabled не уходят? Используем. Отключен. Включена изоляция портов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
survivor Опубликовано 1 марта, 2010 · Жалоба Если с теорией так тяжко, может ответит кто-нибудь - из тех, кто используют зухелевские дсламы? У вас mac antispoofing включен? Порты в disabled не уходят? Используем. Отключен. Включена изоляция портов. Хм... а не интересно зачем эта фишка нужна? Неужто выродились на этом форуме пытливые умы? Интересная ж проблема, да и немаловажной темы (безопасности) касается! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
survivor Опубликовано 12 марта, 2010 · Жалоба Дорогой коммунити! Я конечно понимаю, что модные темы про торрентс.ру, юторрент и чем лучше брасить или что ставить на аксесс - очень интересны и все сейчас тусуются там, но за ними Вы игнорируете очень важные (конечно имхо) но не раскрученные темы, в частности мою :-) Мне не первый раз помогали на этом форуме и я не сомневаюсь в компетентности присутствующих, а также в том, что некоторые используют зухелевские дсламы. Поэтому непонятно безучастное отношение к тому, что может касаться безопасности ВАШЕЙ сети. Убрать галочку с непонятной опции потому как "непонятно что за херня и так работает" - как-то не по нашему... Извиняюсь за сильный оффтоп. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MMM Опубликовано 5 апреля, 2012 · Жалоба У нас был включен mac antispoofing , пришлось отключить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...