Jump to content
Калькуляторы

d-link des-1100-16/24 static mac как работает?

Всем привет! есть сетка, небольшая, построена на неуправляемых свичах для раздачи Интернета.

Время от времени юзеры покупают роутеры и пытаются их самостоятельно настроить, вставляют кабель не туда куда надо в итоге появляются в сети левые dhcp серверы.

Решил приобрести данный управляемый коммутатор для защиты за 2000 руб. (d-link des-1100-16/24)

Скажите пожалуйста, функция static mac оградит сеть от широковещательных пакетов на этом порту который не прошел авторизацию по маку? или все же не оградит?

или использовать лучше port based vlan ? который изолирует каждый порт в свою подсеть, но при этом оставить видеть всем портам порт сервера? хотелось бы конечно чтобы в сети все видели друг друга.

 

Просто есть средства в размере 5 т.р. на закупку парочки таких коммутаторов. хотелось бы конечно взять des-1210, но опять же их нужно две, но в бюджет уже следовательно не влазию. они по 5600 стоят.

Edited by agent2011

Share this post


Link to post
Share on other sites

все смотрят, но никто на простой вопрос ответить не может. теме ап.

Share this post


Link to post
Share on other sites

agent2011

лучше "port based vlan", статик мак не спасёт вас от левых dhcp-серверов

Share this post


Link to post
Share on other sites

agent2011

лучше "port based vlan", статик мак не спасёт вас от левых dhcp-серверов

 

но все же сможет ограничить широковещательные пакеты? в том случае если мак не прошел авторизацию по порту.

вот что пишут про такую же функцию в модели des-2108:

"После таких манипуляций на указанный порт будут отсылаться кадры только для заданного MAC-адреса (и широковещательные, разумеется). Тем самым, даже если кто-то подключится к этому порту, то он не сможет нормально работать – коммутатор просто заблокирует его кадры."

Share this post


Link to post
Share on other sites

Какой конкретно функционал(оригинальное название от производителя) вы называете "авторизацией по маку"?

Share this post


Link to post
Share on other sites

"После таких манипуляций на указанный порт будут отсылаться кадры только для заданного MAC-адреса (и широковещательные, разумеется). Тем самым, даже если кто-то подключится к этому порту, то он не сможет нормально работать – коммутатор просто заблокирует его кадры."

 

вероятно он ("злоумышленник") не сможет получать ответные кадры, если выключено изучение на порту (видимо DLF в такой порт не направляется) и создана статическая запись в fdb, но это никак не помешает отправлять данные с не валидного мака. Но кто сказал, что не валидные DHCP у вас в сети будут работать с не валидных мак адресов?

Если бюджета на коммутаторы с полноценным acl не хватает, посмотрите в сторону workaround'ов костылей типа dhcdrop.

Edited by bos9

Share this post


Link to post
Share on other sites

Если бюджета на коммутаторы с полноценным acl не хватает, посмотрите в сторону workaround'ов костылей типа dhcdrop.

 

или делайте как белые люди - port-isolate (и при необходимости proxy-arp в точке терминирования)

Share this post


Link to post
Share on other sites

"После таких манипуляций на указанный порт будут отсылаться кадры только для заданного MAC-адреса (и широковещательные, разумеется). Тем самым, даже если кто-то подключится к этому порту, то он не сможет нормально работать – коммутатор просто заблокирует его кадры."

 

вероятно он ("злоумышленник") не сможет получать ответные кадры, если выключено изучение на порту (видимо DLF в такой порт не направляется) и создана статическая запись в fdb, но это никак не помешает отправлять данные с не валидного мака. Но кто сказал, что не валидные DHCP у вас в сети будут работать с не валидных мак адресов?

Если бюджета на коммутаторы с полноценным acl не хватает, посмотрите в сторону workaround'ов костылей типа dhcdrop.

 

да вот, заказал уже des-1210-28/me b2 ревизии, буду пробовать ковырять ACL.

 

Всем спасибо!

Edited by agent2011

Share this post


Link to post
Share on other sites

Всё это костыли. Заткнуть все возможности хомячков нагадить друг другу не удастся.

Правильное решение - изоляция прямого трафика. Либо traffic_segmentation в простейшем случае, либо по влану на клиента.

Share this post


Link to post
Share on other sites

в общем собрались покупать des-1210-28, будем использовать acl ip-mac-port биндинг и dhcp скрилинг и порт бейсед vlan)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this