parphenon Опубликовано 29 марта, 2011 · Жалоба Итак простой экспиримент в коммутатор включены DHCP-server port 25 и клиент port 2 на коммутаторе дефолтный конфиг + enable address_binding dhcp_snoop enable address_binding trap_log enable address_binding arp_inspection config address_binding ip_mac ports 1-24 state enable strict allow_zeroip enable forward_dhcppkt enable config address_binding dhcp_snoop max_entry ports 1-24 limit 1 config arp_spoofing_prevention add gateway_ip 10.9.1.1 gateway_mac F0-7D-68-50-52-3C ports 1-24 в порт 1 сажаем машину с маком DHCP-serverа. Вуаля, сеть лежит Command: show fdb Unicast MAC Address Aging Time = 300 VID VLAN Name MAC Address Port Type ---- -------------------------------- ----------------- ---- --------------- 1 default 00-1E-58-6F-A1-40 CPU Self 1 default 00-22-15-21-91-6C 2 Dynamic 1 default F0-7D-68-50-52-3C 1 BlockByAddrBind Total Entries : 3 как видно мак сервера теперь в списке блокированных на порту 1, а на порту 25 его нет Длинк ответил, есть косяк ждите новую прошивку 3.8 Подскажите чем бороться? p.s. Советовать прибиндить мак сервера статично к 25 порту не нужно, во первых потому, что коммутаторы стоят кольцами, а во вторых потому, что ситуация не меняется Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 29 марта, 2011 · Жалоба ACL запрещающий MAC сервера не на 25 порту? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 29 марта, 2011 · Жалоба Прибейте МАС сервера на аплинк статикой. С помощью ACL вы никак не сможете повлиять на работу таблицы комутации. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 29 марта, 2011 · Жалоба Прибейте МАС сервера на аплинк статикой. С помощью ACL вы никак не сможете повлиять на работу таблицы комутации. Х-ня! У D-Link-а другое мнение: http://www.d-link.ru/ru/faq/62/244.html Проверенно на DES-3526, DES-3200 продвигается как наследник оного, т.ч. должно работать, но сам не проверял. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 29 марта, 2011 · Жалоба http://www.d-link.ru/ru/faq/62/244.html Как ограничить пропуск ARP-запросов на порту коммутатора определёнными адресами назначения? Про таблицу комутации никто ни слова не говорит. Для тех, кто в танке, повторю ещё раз: С помощью ACL вы никак не сможете повлиять на работу таблицы комутации. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 29 марта, 2011 · Жалоба Для тех кто из танка, ещё раз: "Проверенно на DES-3526" Создание ACL запрещающего определённый MAC(сервера) на всех портах, кроме одного(серверного), делает спуфинг невозможным. Дятел поставивший себе MAC сервера - сосёт лапу, остальные работают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mallorn Опубликовано 29 марта, 2011 (изменено) · Жалоба АЦЛ, фильтрующий мак шлюза на абонентском порту - отработает. Не спорьте. Ибо это работает и мы у себя точно также фильтруем для защиты от деятелей. Работает точно на des-3526, des-3028 и des-3200 Изменено 29 марта, 2011 пользователем Mallorn Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
parphenon Опубликовано 30 марта, 2011 · Жалоба АЦЛ, фильтрующий мак шлюза на абонентском порту - отработает. Не спорьте. Ибо это работает и мы у себя точно также фильтруем для защиты от деятелей. Работает точно на des-3526, des-3028 и des-3200 Ни статические привязки мака шлюза ни асл запрещающие мак шлюза на клиентских портах не помогают, ибо мак злоумышленника один хрен попадает в таблицу, а с порта шлюза мак слетает. На счет 3526 и 3028 нареканий нет, они то отрабатывают нормально, но у меня в сети штук 300 3200-28... firm 1.33.B006 Экспиримент то простенький, повторить пять минут делов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 30 марта, 2011 · Жалоба АЦЛ, фильтрующий мак шлюза на абонентском порту - отработает. Не спорьте. Ибо это работает и мы у себя точно также фильтруем для защиты от деятелей. Работает точно на des-3526, des-3028 и des-3200 Ни статические привязки мака шлюза ни асл запрещающие мак шлюза на клиентских портах не помогают, ибо мак злоумышленника один хрен попадает в таблицу, а с порта шлюза мак слетает. На счет 3526 и 3028 нареканий нет, они то отрабатывают нормально, но у меня в сети штук 300 3200-28... firm 1.33.B006 Экспиримент то простенький, повторить пять минут делов. ACL запрещающий MAC должен быть на основе PCF, иначе никак. Надо попробовать на DES-3200, как нибудь руки дойдут. Новая fw запрашивается на форуме D-Link-а, в соотв. разделе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дятел Опубликовано 30 марта, 2011 · Жалоба Дятел поставивший себе MAC сервера - сосёт лапу, остальные работают. попрошу без перехода на личности!!! )) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...