[Ivan Rostovikov]

Ок. Тут понял.

Еще вопрос: arp-inspection контролирует только ARP пакеты. А если абонент хитрый и не генерирует ARP. Создал статичную ARP запись у себя на все подряд и шлет все пакеты на default-router прямиком ? Как тогда его выследить ?

[flamaster]

не догнал, под сегментации подразумевается функционал доступа напoдобие Traffic Segmentation например у DLink-a?

[ThreeDHead]

Ок. Тут понял.

Еще вопрос: arp-inspection контролирует только ARP пакеты. А если абонент хитрый и не генерирует ARP. Создал статичную ARP запись у себя на все подряд и шлет все пакеты на default-router прямиком ? Как тогда его выследить ?

Под ARP-инспекцией может подразумеваться: а) встроенный функционал железяки терминирующий L2 на L3; б) собственный алгоритм, загружающий с этой железяки ARP-таблицу и сверяющий с её биллингом, раз в N минут, тем кто сменил айпи - блок на доступе или любые издевательства которые только можете придумать.

Как работает вариант "а" - известно только производителю, "б" - вам.

[biox]

flamaster ну или switchport protected у Cisco

[casperrr]

Где именно работает arp-inspection ? На брасах ? На доступе ? Ткните пальцем что почитать по теме ?

В том месте, где вы "вытаскиваете" абонента с L2 на L3, иначе и инспектировать нечего будет.

 

arp-инспекция прекрасно осуществляется на чистом L2, на порту доступа. Защищает в том числе межабонентское взаимодействие в совокупности с dhcp snooping.

 

Под ARP-инспекцией может подразумеваться: а) встроенный функционал железяки терминирующий L2 на L3; б) собственный алгоритм, загружающий с этой железяки ARP-таблицу и сверяющий с её биллингом, раз в N минут, тем кто сменил айпи - блок на доступе или любые издевательства которые только можете придумать.

Как работает вариант "а" - известно только производителю, "б" - вам.

 

ARP-инспекция не обязательно присуща L3 девайсам. Чистые L2 с ней тоже прекрасно справляются. Для этого ума железке много не надо.

 

flamaster ну или switchport protected у Cisco

 

Это изолирует трафик в пределах свича между протектед-портами. В одном влан-е между портами разных железок это работать не будет. Понадобится private vlan.

[ichthyandr]

и к чему пришли?

Пришли к одному вилану на всех) до 16 к клиентов в одном броадкаст домене. Везде сегментация. Номер вилана за всеми узлами одинаковый, все унифицировано. Проблем нааамного меньше)

на доступе циско? кольца есть?

Изменено 19 ноября, 2012 пользователем ichthyandr

[ThreeDHead]

arp-инспекция прекрасно осуществляется на чистом L2, на порту доступа.

Мы с вами о разных вещах говорим, я о IP-спуфинге, а вы о MAC-спуфинге. MAC-спуфиг лечится на самом дешевом доступе, путем фильтрации.

[casperrr]

arp-инспекция прекрасно осуществляется на чистом L2, на порту доступа.

Мы с вами о разных вещах говорим, я о IP-спуфинге, а вы о MAC-спуфинге. MAC-спуфиг лечится на самом дешевом доступе, путем фильтрации.

 

Нифига подобного. Я тоже об IP-спуфинге. На чисто L2 свиче c2960 связка dhcp-snooping + ip arp inspection + port security препятствует манипуляциям с ip.

dhcp snooping запоминает связку ip-mac-port. Включенный arp-inspection эту базу использует для инспекции и блокировки.

Говоря иначе, вручную выставленный ip соседа работать не будет. arp-спуфинг тоже не прокатит. Можно конечно попытаться обмануть dhcp snooping и arp-inspection, сменив мак и попытавшись получить валидный ip по dhcp, но тут поможет port security.

 

arp-инспекция прекрасно осуществляется на чистом L2, на порту доступа.

Мы с вами о разных вещах говорим, я о IP-спуфинге, а вы о MAC-спуфинге. MAC-спуфиг лечится на самом дешевом доступе, путем фильтрации.

 

На L3 в циско описываемая вами фишка тоже есть. IP source guard. Действительно работает при форвардинге. Но ничто не мешает этот же принцип использовать на L2 до L3-терминации. Источник-то данных для проверки валидности один и тот же - dhcp snooping.

[ThreeDHead]

На чисто L2 свиче c2960

Простите, у вас c2960 на доступе? Ничего не путаете?

Изменено 19 ноября, 2012 пользователем ThreeDHead

[casperrr]

На чисто L2 свиче c2960

Простите, у вас c2960 на доступе? Ничего не путаете?

 

У меня 2960 в корпоративной сетке на доступе :)

[ThreeDHead]

У меня 2960 в корпоративной сетке на доступе :)

Т.е. никакого отношения к реальной жизни не имеет (для меня лично)...

[casperrr]

У меня 2960 в корпоративной сетке на доступе :)

Т.е. никакого отношения к реальной жизни не имеет (для меня лично)...

 

Ну... как сказать. Масштабы сетей тут тоже могут быть весьма. И вопросы с проблемами похожие. И я не уверен, что в других железках логика работы этой функции сильно от цисковской отличается. Даже уверен - что наоборот. В том же AT есть dhcp snooping и arp security (практически аналог цискиной фичи). Что вы имели в виду под фильтрацией мак-ов я чессно говоря не понял в контектсе разговора об arp. Arp как бы про связку L2 и L3 и его(arp) инспекция проверку L3 осущетсвлять должна априори. Просто из сущности протокола.

[ThreeDHead]

Arp как бы про связку L2 и L3 и его(arp) инспекция проверку L3 осущетсвлять должна априори. Просто из сущности протокола.

+

 

arp-инспекция прекрасно осуществляется на чистом L2, на порту доступа

Лан, завязываем.

[casperrr]

Arp как бы про связку L2 и L3 и его(arp) инспекция проверку L3 осущетсвлять должна априори. Просто из сущности протокола.

+

 

arp-инспекция прекрасно осуществляется на чистом L2, на порту доступа

Лан, завязываем.

 

:) Да ладно, че тут. И кстать, а интересно будет попробовать, если на клиентских хостах arp-кэш вручную сконфигурить и попробовать при статических невалидных ип повзаимодействовать в пределах свича. Может и прокатит. Так что в каком-то смысле вы правы. На L3 девайсе это все равно надо.

[kf72]

Пришли к одному вилану на всех) до 16 к клиентов в одном броадкаст домене. Везде сегментация. Номер вилана за всеми узлами одинаковый, все унифицировано. Проблем нааамного меньше)

хм... а гадящие порты / сетевые карты не создают проблем ?

[Frau]

хм... а гадящие порты / сетевые карты не создают проблем ?

на доступе на портах все запилено - ограничены полосы для unknown broadcast+multicast + loopdetect, на агрегации storm-control. Проблемы конечно бывают, это ethernet ) Но достаточно не часто, это от схемы вообще-то мало зависит, подобные проблемы будут встречаться и схеме vlan на пользователя.

[s.lobanov]

Frau

У вас есть кольцевые топологии на доступе? Если есть, то как изолируете межабонентский трафик в схеме "всё в одном влане"?

[Frau]

Frau

У вас есть кольцевые топологии на доступе? Если есть, то как изолируете межабонентский трафик в схеме "всё в одном влане"?

колец нет. В редких случаях делаем кольца, но для юр.лиц, но они не в схеме "все в одном влане" и когда надо подобное сделать используем на доступе железки от cisco.

[ichthyandr]

Frau

У вас есть кольцевые топологии на доступе? Если есть, то как изолируете межабонентский трафик в схеме "всё в одном влане"?

колец нет. В редких случаях делаем кольца, но для юр.лиц, но они не в схеме "все в одном влане" и когда надо подобное сделать используем на доступе железки от cisco.

в таком случае на каждый коммутатор ИБП? В наших условиях ИБП ставить на каждый дорого, резервирование сделано через кольца, соотв. коммутаторы имеют два аплинка и простой изоляцией портов не обойтись, как вариант сочетать влан на кольцевой коммутатор + изоляция портов

[s.lobanov]

Frau

У вас есть кольцевые топологии на доступе? Если есть, то как изолируете межабонентский трафик в схеме "всё в одном влане"?

колец нет. В редких случаях делаем кольца, но для юр.лиц, но они не в схеме "все в одном влане" и когда надо подобное сделать используем на доступе железки от cisco.

 

Т.е. у вас к каждом порту агрегирующего коммутатора подключено всего по одному аксессному свитчу? Или цепочка свитчей доступа?

[Frau]

в таком случае на каждый коммутатор ИБП? В наших условиях ИБП ставить на каждый дорого, резервирование сделано через кольца, соотв. коммутаторы имеют два аплинка и простой изоляцией портов не обойтись, как вариант сочетать влан на кольцевой коммутатор + изоляция портов

ИБП не на каждый конечно, это дорого. Только на "жирных" домах

В некоторых городах запускали со схемы "оптика с узла", там если на доме с электричеством проблемы, пользователю особо инет и не нужен, т.к. у него тоже нет электричества. Сейчас постепенно агрегацию стаскиваем на узлы и расключаем цепочки.

[andryas]

и к чему пришли?

Пришли к одному вилану на всех) до 16 к клиентов в одном броадкаст домене. Везде сегментация. Номер вилана за всеми узлами одинаковый, все унифицировано. Проблем нааамного меньше)

 

Как в такой схеме обеспечивается маршрутизация трафика между клиентами? Если они в одном широковещательном домене, Proxy-ARP, я так понимаю, не поможет?

[s.lobanov]

и к чему пришли?

Пришли к одному вилану на всех) до 16 к клиентов в одном броадкаст домене. Везде сегментация. Номер вилана за всеми узлами одинаковый, все унифицировано. Проблем нааамного меньше)

 

Как в такой схеме обеспечивается маршрутизация трафика между клиентами? Если они в одном широковещательном домене, Proxy-ARP, я так понимаю, не поможет?

 

У разных вендоров эта фича называется по-разному, но одно из популярных названий - local-proxy-arp (это когда межабонентский трафик одной сети ходит через точку терминирования(маршрутизатор прикидывается всеми хостами, отвечая на arp))

[OKyHb]

При сегментации и использовании local-proxy-arp можно ли абоненту выдавать 2 ip адреса? (Если, к примеру, он хочет подключить через свою мыльницу два компьютера)

[andryas]

Ещё один вопрос по данной схеме - как защититься от подбора MAC адреса клиентом? Хотя адресов соседей он и не видит, но как-нибудь узнать всё-же может.