Ivan Rostovikov Опубликовано 19 ноября, 2012 · Жалоба Ок. Тут понял. Еще вопрос: arp-inspection контролирует только ARP пакеты. А если абонент хитрый и не генерирует ARP. Создал статичную ARP запись у себя на все подряд и шлет все пакеты на default-router прямиком ? Как тогда его выследить ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
flamaster Опубликовано 19 ноября, 2012 · Жалоба не догнал, под сегментации подразумевается функционал доступа напoдобие Traffic Segmentation например у DLink-a? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ThreeDHead Опубликовано 19 ноября, 2012 · Жалоба Ок. Тут понял. Еще вопрос: arp-inspection контролирует только ARP пакеты. А если абонент хитрый и не генерирует ARP. Создал статичную ARP запись у себя на все подряд и шлет все пакеты на default-router прямиком ? Как тогда его выследить ? Под ARP-инспекцией может подразумеваться: а) встроенный функционал железяки терминирующий L2 на L3; б) собственный алгоритм, загружающий с этой железяки ARP-таблицу и сверяющий с её биллингом, раз в N минут, тем кто сменил айпи - блок на доступе или любые издевательства которые только можете придумать. Как работает вариант "а" - известно только производителю, "б" - вам. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
biox Опубликовано 19 ноября, 2012 · Жалоба flamaster ну или switchport protected у Cisco Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
casperrr Опубликовано 19 ноября, 2012 · Жалоба Где именно работает arp-inspection ? На брасах ? На доступе ? Ткните пальцем что почитать по теме ? В том месте, где вы "вытаскиваете" абонента с L2 на L3, иначе и инспектировать нечего будет. arp-инспекция прекрасно осуществляется на чистом L2, на порту доступа. Защищает в том числе межабонентское взаимодействие в совокупности с dhcp snooping. Под ARP-инспекцией может подразумеваться: а) встроенный функционал железяки терминирующий L2 на L3; б) собственный алгоритм, загружающий с этой железяки ARP-таблицу и сверяющий с её биллингом, раз в N минут, тем кто сменил айпи - блок на доступе или любые издевательства которые только можете придумать. Как работает вариант "а" - известно только производителю, "б" - вам. ARP-инспекция не обязательно присуща L3 девайсам. Чистые L2 с ней тоже прекрасно справляются. Для этого ума железке много не надо. flamaster ну или switchport protected у Cisco Это изолирует трафик в пределах свича между протектед-портами. В одном влан-е между портами разных железок это работать не будет. Понадобится private vlan. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ichthyandr Опубликовано 19 ноября, 2012 (изменено) · Жалоба и к чему пришли? Пришли к одному вилану на всех) до 16 к клиентов в одном броадкаст домене. Везде сегментация. Номер вилана за всеми узлами одинаковый, все унифицировано. Проблем нааамного меньше) на доступе циско? кольца есть? Изменено 19 ноября, 2012 пользователем ichthyandr Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ThreeDHead Опубликовано 19 ноября, 2012 · Жалоба arp-инспекция прекрасно осуществляется на чистом L2, на порту доступа. Мы с вами о разных вещах говорим, я о IP-спуфинге, а вы о MAC-спуфинге. MAC-спуфиг лечится на самом дешевом доступе, путем фильтрации. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
casperrr Опубликовано 19 ноября, 2012 · Жалоба arp-инспекция прекрасно осуществляется на чистом L2, на порту доступа. Мы с вами о разных вещах говорим, я о IP-спуфинге, а вы о MAC-спуфинге. MAC-спуфиг лечится на самом дешевом доступе, путем фильтрации. Нифига подобного. Я тоже об IP-спуфинге. На чисто L2 свиче c2960 связка dhcp-snooping + ip arp inspection + port security препятствует манипуляциям с ip. dhcp snooping запоминает связку ip-mac-port. Включенный arp-inspection эту базу использует для инспекции и блокировки. Говоря иначе, вручную выставленный ip соседа работать не будет. arp-спуфинг тоже не прокатит. Можно конечно попытаться обмануть dhcp snooping и arp-inspection, сменив мак и попытавшись получить валидный ip по dhcp, но тут поможет port security. arp-инспекция прекрасно осуществляется на чистом L2, на порту доступа. Мы с вами о разных вещах говорим, я о IP-спуфинге, а вы о MAC-спуфинге. MAC-спуфиг лечится на самом дешевом доступе, путем фильтрации. На L3 в циско описываемая вами фишка тоже есть. IP source guard. Действительно работает при форвардинге. Но ничто не мешает этот же принцип использовать на L2 до L3-терминации. Источник-то данных для проверки валидности один и тот же - dhcp snooping. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ThreeDHead Опубликовано 19 ноября, 2012 (изменено) · Жалоба На чисто L2 свиче c2960 Простите, у вас c2960 на доступе? Ничего не путаете? Изменено 19 ноября, 2012 пользователем ThreeDHead Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
casperrr Опубликовано 19 ноября, 2012 · Жалоба На чисто L2 свиче c2960 Простите, у вас c2960 на доступе? Ничего не путаете? У меня 2960 в корпоративной сетке на доступе :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ThreeDHead Опубликовано 19 ноября, 2012 · Жалоба У меня 2960 в корпоративной сетке на доступе :) Т.е. никакого отношения к реальной жизни не имеет (для меня лично)... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
casperrr Опубликовано 19 ноября, 2012 · Жалоба У меня 2960 в корпоративной сетке на доступе :) Т.е. никакого отношения к реальной жизни не имеет (для меня лично)... Ну... как сказать. Масштабы сетей тут тоже могут быть весьма. И вопросы с проблемами похожие. И я не уверен, что в других железках логика работы этой функции сильно от цисковской отличается. Даже уверен - что наоборот. В том же AT есть dhcp snooping и arp security (практически аналог цискиной фичи). Что вы имели в виду под фильтрацией мак-ов я чессно говоря не понял в контектсе разговора об arp. Arp как бы про связку L2 и L3 и его(arp) инспекция проверку L3 осущетсвлять должна априори. Просто из сущности протокола. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ThreeDHead Опубликовано 19 ноября, 2012 · Жалоба Arp как бы про связку L2 и L3 и его(arp) инспекция проверку L3 осущетсвлять должна априори. Просто из сущности протокола. + arp-инспекция прекрасно осуществляется на чистом L2, на порту доступа Лан, завязываем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
casperrr Опубликовано 19 ноября, 2012 · Жалоба Arp как бы про связку L2 и L3 и его(arp) инспекция проверку L3 осущетсвлять должна априори. Просто из сущности протокола. + arp-инспекция прекрасно осуществляется на чистом L2, на порту доступа Лан, завязываем. :) Да ладно, че тут. И кстать, а интересно будет попробовать, если на клиентских хостах arp-кэш вручную сконфигурить и попробовать при статических невалидных ип повзаимодействовать в пределах свича. Может и прокатит. Так что в каком-то смысле вы правы. На L3 девайсе это все равно надо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kf72 Опубликовано 20 ноября, 2012 · Жалоба Пришли к одному вилану на всех) до 16 к клиентов в одном броадкаст домене. Везде сегментация. Номер вилана за всеми узлами одинаковый, все унифицировано. Проблем нааамного меньше) хм... а гадящие порты / сетевые карты не создают проблем ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Frau Опубликовано 20 ноября, 2012 · Жалоба хм... а гадящие порты / сетевые карты не создают проблем ? на доступе на портах все запилено - ограничены полосы для unknown broadcast+multicast + loopdetect, на агрегации storm-control. Проблемы конечно бывают, это ethernet ) Но достаточно не часто, это от схемы вообще-то мало зависит, подобные проблемы будут встречаться и схеме vlan на пользователя. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 20 ноября, 2012 · Жалоба Frau У вас есть кольцевые топологии на доступе? Если есть, то как изолируете межабонентский трафик в схеме "всё в одном влане"? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Frau Опубликовано 21 ноября, 2012 · Жалоба Frau У вас есть кольцевые топологии на доступе? Если есть, то как изолируете межабонентский трафик в схеме "всё в одном влане"? колец нет. В редких случаях делаем кольца, но для юр.лиц, но они не в схеме "все в одном влане" и когда надо подобное сделать используем на доступе железки от cisco. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ichthyandr Опубликовано 21 ноября, 2012 · Жалоба Frau У вас есть кольцевые топологии на доступе? Если есть, то как изолируете межабонентский трафик в схеме "всё в одном влане"? колец нет. В редких случаях делаем кольца, но для юр.лиц, но они не в схеме "все в одном влане" и когда надо подобное сделать используем на доступе железки от cisco. в таком случае на каждый коммутатор ИБП? В наших условиях ИБП ставить на каждый дорого, резервирование сделано через кольца, соотв. коммутаторы имеют два аплинка и простой изоляцией портов не обойтись, как вариант сочетать влан на кольцевой коммутатор + изоляция портов Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 21 ноября, 2012 · Жалоба Frau У вас есть кольцевые топологии на доступе? Если есть, то как изолируете межабонентский трафик в схеме "всё в одном влане"? колец нет. В редких случаях делаем кольца, но для юр.лиц, но они не в схеме "все в одном влане" и когда надо подобное сделать используем на доступе железки от cisco. Т.е. у вас к каждом порту агрегирующего коммутатора подключено всего по одному аксессному свитчу? Или цепочка свитчей доступа? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Frau Опубликовано 21 ноября, 2012 · Жалоба в таком случае на каждый коммутатор ИБП? В наших условиях ИБП ставить на каждый дорого, резервирование сделано через кольца, соотв. коммутаторы имеют два аплинка и простой изоляцией портов не обойтись, как вариант сочетать влан на кольцевой коммутатор + изоляция портов ИБП не на каждый конечно, это дорого. Только на "жирных" домах В некоторых городах запускали со схемы "оптика с узла", там если на доме с электричеством проблемы, пользователю особо инет и не нужен, т.к. у него тоже нет электричества. Сейчас постепенно агрегацию стаскиваем на узлы и расключаем цепочки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andryas Опубликовано 30 ноября, 2012 · Жалоба и к чему пришли? Пришли к одному вилану на всех) до 16 к клиентов в одном броадкаст домене. Везде сегментация. Номер вилана за всеми узлами одинаковый, все унифицировано. Проблем нааамного меньше) Как в такой схеме обеспечивается маршрутизация трафика между клиентами? Если они в одном широковещательном домене, Proxy-ARP, я так понимаю, не поможет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 30 ноября, 2012 · Жалоба и к чему пришли? Пришли к одному вилану на всех) до 16 к клиентов в одном броадкаст домене. Везде сегментация. Номер вилана за всеми узлами одинаковый, все унифицировано. Проблем нааамного меньше) Как в такой схеме обеспечивается маршрутизация трафика между клиентами? Если они в одном широковещательном домене, Proxy-ARP, я так понимаю, не поможет? У разных вендоров эта фича называется по-разному, но одно из популярных названий - local-proxy-arp (это когда межабонентский трафик одной сети ходит через точку терминирования(маршрутизатор прикидывается всеми хостами, отвечая на arp)) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
OKyHb Опубликовано 30 ноября, 2012 · Жалоба При сегментации и использовании local-proxy-arp можно ли абоненту выдавать 2 ip адреса? (Если, к примеру, он хочет подключить через свою мыльницу два компьютера) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andryas Опубликовано 30 ноября, 2012 · Жалоба Ещё один вопрос по данной схеме - как защититься от подбора MAC адреса клиентом? Хотя адресов соседей он и не видит, но как-нибудь узнать всё-же может. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...