[parphenon]

Итак простой экспиримент в коммутатор включены DHCP-server port 25 и клиент port 2

на коммутаторе дефолтный конфиг +

enable address_binding dhcp_snoop
enable address_binding trap_log
enable address_binding arp_inspection
config address_binding ip_mac ports 1-24 state enable strict allow_zeroip enable forward_dhcppkt enable
config address_binding dhcp_snoop max_entry ports 1-24 limit 1
config arp_spoofing_prevention add gateway_ip 10.9.1.1 gateway_mac F0-7D-68-50-52-3C ports 1-24

в порт 1 сажаем машину с маком DHCP-serverа.

Вуаля, сеть лежит

Command: show fdb

Unicast MAC Address Aging Time  = 300

VID  VLAN Name                        MAC Address       Port Type
---- -------------------------------- ----------------- ---- ---------------
1    default                          00-1E-58-6F-A1-40 CPU  Self
1    default                          00-22-15-21-91-6C  2   Dynamic
1    default                          F0-7D-68-50-52-3C  1   BlockByAddrBind

Total Entries  : 3

как видно мак сервера теперь в списке блокированных на порту 1, а на порту 25 его нет

 

Длинк ответил, есть косяк ждите новую прошивку 3.8

Подскажите чем бороться?

p.s. Советовать прибиндить мак сервера статично к 25 порту не нужно, во первых потому, что коммутаторы стоят кольцами, а во вторых потому, что ситуация не меняется

[Deac]

ACL запрещающий MAC сервера не на 25 порту?

[terrible]

Прибейте МАС сервера на аплинк статикой. С помощью ACL вы никак не сможете повлиять на работу таблицы комутации.

[Deac]

Прибейте МАС сервера на аплинк статикой. С помощью ACL вы никак не сможете повлиять на работу таблицы комутации.

 

Х-ня!

У D-Link-а другое мнение:

 

http://www.d-link.ru/ru/faq/62/244.html

 

Проверенно на DES-3526, DES-3200 продвигается как наследник оного, т.ч. должно работать, но сам не проверял.

[terrible]

http://www.d-link.ru/ru/faq/62/244.html

Как ограничить пропуск ARP-запросов на порту коммутатора определёнными адресами назначения?

 

Про таблицу комутации никто ни слова не говорит.

 

Для тех, кто в танке, повторю ещё раз:

С помощью ACL вы никак не сможете повлиять на работу таблицы комутации.

[Deac]

Для тех кто из танка, ещё раз:

"Проверенно на DES-3526"

 

Создание ACL запрещающего определённый MAC(сервера) на всех портах, кроме одного(серверного), делает спуфинг невозможным.

Дятел поставивший себе MAC сервера - сосёт лапу, остальные работают.

[Mallorn]

АЦЛ, фильтрующий мак шлюза на абонентском порту - отработает. Не спорьте. Ибо это работает и мы у себя точно также фильтруем для защиты от деятелей.

Работает точно на des-3526, des-3028 и des-3200

Изменено 29 марта, 2011 пользователем Mallorn

[parphenon]

АЦЛ, фильтрующий мак шлюза на абонентском порту - отработает. Не спорьте. Ибо это работает и мы у себя точно также фильтруем для защиты от деятелей.

Работает точно на des-3526, des-3028 и des-3200

Ни статические привязки мака шлюза ни асл запрещающие мак шлюза на клиентских портах не помогают, ибо мак злоумышленника один хрен попадает в таблицу, а с порта шлюза мак слетает.

На счет 3526 и 3028 нареканий нет, они то отрабатывают нормально, но у меня в сети штук 300 3200-28... firm 1.33.B006

 

Экспиримент то простенький, повторить пять минут делов.

[Deac]

АЦЛ, фильтрующий мак шлюза на абонентском порту - отработает. Не спорьте. Ибо это работает и мы у себя точно также фильтруем для защиты от деятелей.

Работает точно на des-3526, des-3028 и des-3200

Ни статические привязки мака шлюза ни асл запрещающие мак шлюза на клиентских портах не помогают, ибо мак злоумышленника один хрен попадает в таблицу, а с порта шлюза мак слетает.

На счет 3526 и 3028 нареканий нет, они то отрабатывают нормально, но у меня в сети штук 300 3200-28... firm 1.33.B006

 

Экспиримент то простенький, повторить пять минут делов.

 

ACL запрещающий MAC должен быть на основе PCF, иначе никак.

Надо попробовать на DES-3200, как нибудь руки дойдут.

Новая fw запрашивается на форуме D-Link-а, в соотв. разделе.

[Дятел]

Дятел поставивший себе MAC сервера - сосёт лапу, остальные работают.

 

попрошу без перехода на личности!!!

 

 

))