Jump to content
Калькуляторы

Dlink 3200 против ARP-spoofing Не верная работа коммутатора с таблицей мак-адресов

Итак простой экспиримент в коммутатор включены DHCP-server port 25 и клиент port 2

на коммутаторе дефолтный конфиг +

enable address_binding dhcp_snoop
enable address_binding trap_log
enable address_binding arp_inspection
config address_binding ip_mac ports 1-24 state enable strict allow_zeroip enable forward_dhcppkt enable
config address_binding dhcp_snoop max_entry ports 1-24 limit 1
config arp_spoofing_prevention add gateway_ip 10.9.1.1 gateway_mac F0-7D-68-50-52-3C ports 1-24

в порт 1 сажаем машину с маком DHCP-serverа.

Вуаля, сеть лежит

Command: show fdb

Unicast MAC Address Aging Time  = 300

VID  VLAN Name                        MAC Address       Port Type
---- -------------------------------- ----------------- ---- ---------------
1    default                          00-1E-58-6F-A1-40 CPU  Self
1    default                          00-22-15-21-91-6C  2   Dynamic
1    default                          F0-7D-68-50-52-3C  1   BlockByAddrBind

Total Entries  : 3

как видно мак сервера теперь в списке блокированных на порту 1, а на порту 25 его нет

 

Длинк ответил, есть косяк ждите новую прошивку 3.8

Подскажите чем бороться?

p.s. Советовать прибиндить мак сервера статично к 25 порту не нужно, во первых потому, что коммутаторы стоят кольцами, а во вторых потому, что ситуация не меняется

Share this post


Link to post
Share on other sites

ACL запрещающий MAC сервера не на 25 порту?

Share this post


Link to post
Share on other sites

Прибейте МАС сервера на аплинк статикой. С помощью ACL вы никак не сможете повлиять на работу таблицы комутации.

Share this post


Link to post
Share on other sites

Прибейте МАС сервера на аплинк статикой. С помощью ACL вы никак не сможете повлиять на работу таблицы комутации.

 

Х-ня!

У D-Link-а другое мнение:

 

http://www.d-link.ru/ru/faq/62/244.html

 

Проверенно на DES-3526, DES-3200 продвигается как наследник оного, т.ч. должно работать, но сам не проверял.

Share this post


Link to post
Share on other sites

http://www.d-link.ru/ru/faq/62/244.html

Как ограничить пропуск ARP-запросов на порту коммутатора определёнными адресами назначения?

 

Про таблицу комутации никто ни слова не говорит.

 

Для тех, кто в танке, повторю ещё раз:

С помощью ACL вы никак не сможете повлиять на работу таблицы комутации.

Share this post


Link to post
Share on other sites

Для тех кто из танка, ещё раз:

"Проверенно на DES-3526"

 

Создание ACL запрещающего определённый MAC(сервера) на всех портах, кроме одного(серверного), делает спуфинг невозможным.

Дятел поставивший себе MAC сервера - сосёт лапу, остальные работают.

Share this post


Link to post
Share on other sites

АЦЛ, фильтрующий мак шлюза на абонентском порту - отработает. Не спорьте. Ибо это работает и мы у себя точно также фильтруем для защиты от деятелей.

Работает точно на des-3526, des-3028 и des-3200

Edited by Mallorn

Share this post


Link to post
Share on other sites

АЦЛ, фильтрующий мак шлюза на абонентском порту - отработает. Не спорьте. Ибо это работает и мы у себя точно также фильтруем для защиты от деятелей.

Работает точно на des-3526, des-3028 и des-3200

Ни статические привязки мака шлюза ни асл запрещающие мак шлюза на клиентских портах не помогают, ибо мак злоумышленника один хрен попадает в таблицу, а с порта шлюза мак слетает.

На счет 3526 и 3028 нареканий нет, они то отрабатывают нормально, но у меня в сети штук 300 3200-28... firm 1.33.B006

 

Экспиримент то простенький, повторить пять минут делов.

Share this post


Link to post
Share on other sites

АЦЛ, фильтрующий мак шлюза на абонентском порту - отработает. Не спорьте. Ибо это работает и мы у себя точно также фильтруем для защиты от деятелей.

Работает точно на des-3526, des-3028 и des-3200

Ни статические привязки мака шлюза ни асл запрещающие мак шлюза на клиентских портах не помогают, ибо мак злоумышленника один хрен попадает в таблицу, а с порта шлюза мак слетает.

На счет 3526 и 3028 нареканий нет, они то отрабатывают нормально, но у меня в сети штук 300 3200-28... firm 1.33.B006

 

Экспиримент то простенький, повторить пять минут делов.

 

ACL запрещающий MAC должен быть на основе PCF, иначе никак.

Надо попробовать на DES-3200, как нибудь руки дойдут.

Новая fw запрашивается на форуме D-Link-а, в соотв. разделе.

Share this post


Link to post
Share on other sites

Дятел поставивший себе MAC сервера - сосёт лапу, остальные работают.

 

попрошу без перехода на личности!!!

 

 

))

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this