[Cramac]

Всем привет.

Подскажите, есть сеть, влан на дом, адреса выдаются по дхцп. На свитчах, вхцп снупинг.

Периодически, люди, не знаю с чего, решают прописать себе ИП адрес впн сервера, в связи с чем начинаются проблемы с доступом к нему...

 

Как можно от такого защитится? влан на пользователя?

[NiTr0]

А чо, IP source guard у вас нет?

[Cramac]

есть, но не включено.

[Antares]

делайте привязку ip+mac на свитчах или вилан на абонента. А у Вас что, L3 и впн сервер в одном флаконе??

[Soltik]

переходить на пппое и блочить на коммутаторах межклиентский трафик на основе маков.

[Cramac]

Antares нет, сервер отдельно, Л3 отдельно.

[Antares]

А как у вас тогда начинаются проблемы с доступом к серверу? Или только на этом вилане???

[Cramac]

только в том влане, где юзверь пытается его прописать, начинаются проблемы, остальным пофиг.

[Antares]

тогда решение тебе уже написали

[pppoetest]

блинк: дхцп снупинг + стрикт режим

Edited November 21, 2012 by pppoetest

[NiTr0]

есть, но не включено.

Почему? Это решает вопрос подмены ип на корню.

 

делайте привязку ip+mac на свитчах или вилан на абонента.

Накой привязку ип + мак????? Нужно зафиксировать ИП на порту. Для любого мака. IP source guard для этого есть.

 

переходить на пппое

Накой, если у ТС управляемое железо? Что за патологическая тяга к реализации всего через анус, усложняя жизнь и себе, и клиентам?

[xcme]

только в том влане, где юзверь пытается его прописать, начинаются проблемы, остальным пофиг.

Непонятно как такое вообще может происходить. Если влан на дом, значит вланов много и vpn-сервер, скорее всего, находится в другом влане. Согласно своей таблице клиенты должны искать впн за шлюзом, а не в своем влане. Как абонент может помешать другим в такой схеме?

[Cramac]

ну да, но как то происходит.

впн в 10 влане

клиенты >200

 

но почему то прописывают себе ИП сервера, и тем самым, АРП показывает другой мак "сервера"

[wtyd]

ну да, но как то происходит.

впн в 10 влане

клиенты >200

 

но почему то прописывают себе ИП сервера, и тем самым, АРП показывает другой мак "сервера"

 

У вас случайно не ip unnumbered ? Если да, то всё понятно :-). Логичнее всего было бы сделать влан на дом, а т.к. никогда не знаешь заранее о распределении абонентов, то все вланы в ip unnumbered или в схожие фичи у не-цыско вендоров. Если выставить ойпи впн, который тоже почему-то оказался в этой большой аннумберед подсети, то по арп весь влан оказывается "отравлен". Это один из возможных вариантов.

 

Тут уж только глючный арп-инспекшн, который реализован в свичах софтварно со всеми вытекающими. Ну или вынести значимые серверы из этого блока ойпи адресов, который выделен на аннумеберед.

 

Хотя наверное я не угадал с причиной проблемы :-))).

 

Ну ещё может быть маска в дхцп неправильная выдаётся или это вообще глюки у клиентов в их реализации арп -- пофик на конфиг интерфейса, главное что в арп кеш тебе засунули, туда и смотрим, а в арп можно засунуть всё, что угодно, даже гугл в случае неправильной реализации арп на стороне клиента.

[Cramac]

обычные вланы... 802.1Q VLAN

 

ДХЦП тут не причем, т.к. клиент в ручную прописывает данный ип у себя.