agent2011 Posted March 9, 2013 (edited) Всем привет! есть сетка, небольшая, построена на неуправляемых свичах для раздачи Интернета. Время от времени юзеры покупают роутеры и пытаются их самостоятельно настроить, вставляют кабель не туда куда надо в итоге появляются в сети левые dhcp серверы. Решил приобрести данный управляемый коммутатор для защиты за 2000 руб. (d-link des-1100-16/24) Скажите пожалуйста, функция static mac оградит сеть от широковещательных пакетов на этом порту который не прошел авторизацию по маку? или все же не оградит? или использовать лучше port based vlan ? который изолирует каждый порт в свою подсеть, но при этом оставить видеть всем портам порт сервера? хотелось бы конечно чтобы в сети все видели друг друга. Просто есть средства в размере 5 т.р. на закупку парочки таких коммутаторов. хотелось бы конечно взять des-1210, но опять же их нужно две, но в бюджет уже следовательно не влазию. они по 5600 стоят. Edited March 10, 2013 by agent2011 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
agent2011 Posted March 10, 2013 все смотрят, но никто на простой вопрос ответить не может. теме ап. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted March 10, 2013 agent2011 лучше "port based vlan", статик мак не спасёт вас от левых dhcp-серверов Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
agent2011 Posted March 10, 2013 agent2011 лучше "port based vlan", статик мак не спасёт вас от левых dhcp-серверов но все же сможет ограничить широковещательные пакеты? в том случае если мак не прошел авторизацию по порту. вот что пишут про такую же функцию в модели des-2108: "После таких манипуляций на указанный порт будут отсылаться кадры только для заданного MAC-адреса (и широковещательные, разумеется). Тем самым, даже если кто-то подключится к этому порту, то он не сможет нормально работать – коммутатор просто заблокирует его кадры." Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted March 10, 2013 Какой конкретно функционал(оригинальное название от производителя) вы называете "авторизацией по маку"? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
bos9 Posted March 10, 2013 (edited) "После таких манипуляций на указанный порт будут отсылаться кадры только для заданного MAC-адреса (и широковещательные, разумеется). Тем самым, даже если кто-то подключится к этому порту, то он не сможет нормально работать – коммутатор просто заблокирует его кадры." вероятно он ("злоумышленник") не сможет получать ответные кадры, если выключено изучение на порту (видимо DLF в такой порт не направляется) и создана статическая запись в fdb, но это никак не помешает отправлять данные с не валидного мака. Но кто сказал, что не валидные DHCP у вас в сети будут работать с не валидных мак адресов? Если бюджета на коммутаторы с полноценным acl не хватает, посмотрите в сторону workaround'ов костылей типа dhcdrop. Edited March 10, 2013 by bos9 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted March 10, 2013 Если бюджета на коммутаторы с полноценным acl не хватает, посмотрите в сторону workaround'ов костылей типа dhcdrop. или делайте как белые люди - port-isolate (и при необходимости proxy-arp в точке терминирования) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
agent2011 Posted March 10, 2013 (edited) "После таких манипуляций на указанный порт будут отсылаться кадры только для заданного MAC-адреса (и широковещательные, разумеется). Тем самым, даже если кто-то подключится к этому порту, то он не сможет нормально работать – коммутатор просто заблокирует его кадры." вероятно он ("злоумышленник") не сможет получать ответные кадры, если выключено изучение на порту (видимо DLF в такой порт не направляется) и создана статическая запись в fdb, но это никак не помешает отправлять данные с не валидного мака. Но кто сказал, что не валидные DHCP у вас в сети будут работать с не валидных мак адресов? Если бюджета на коммутаторы с полноценным acl не хватает, посмотрите в сторону workaround'ов костылей типа dhcdrop. да вот, заказал уже des-1210-28/me b2 ревизии, буду пробовать ковырять ACL. Всем спасибо! Edited March 10, 2013 by agent2011 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rdc Posted March 11, 2013 Всё это костыли. Заткнуть все возможности хомячков нагадить друг другу не удастся. Правильное решение - изоляция прямого трафика. Либо traffic_segmentation в простейшем случае, либо по влану на клиента. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
agent2011 Posted March 11, 2013 в общем собрались покупать des-1210-28, будем использовать acl ip-mac-port биндинг и dhcp скрилинг и порт бейсед vlan) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...