[agent2011]

Всем привет! есть сетка, небольшая, построена на неуправляемых свичах для раздачи Интернета.

Время от времени юзеры покупают роутеры и пытаются их самостоятельно настроить, вставляют кабель не туда куда надо в итоге появляются в сети левые dhcp серверы.

Решил приобрести данный управляемый коммутатор для защиты за 2000 руб. (d-link des-1100-16/24)

Скажите пожалуйста, функция static mac оградит сеть от широковещательных пакетов на этом порту который не прошел авторизацию по маку? или все же не оградит?

или использовать лучше port based vlan ? который изолирует каждый порт в свою подсеть, но при этом оставить видеть всем портам порт сервера? хотелось бы конечно чтобы в сети все видели друг друга.

 

Просто есть средства в размере 5 т.р. на закупку парочки таких коммутаторов. хотелось бы конечно взять des-1210, но опять же их нужно две, но в бюджет уже следовательно не влазию. они по 5600 стоят.

Изменено 10 марта, 2013 пользователем agent2011

[agent2011]

все смотрят, но никто на простой вопрос ответить не может. теме ап.

[s.lobanov]

agent2011

лучше "port based vlan", статик мак не спасёт вас от левых dhcp-серверов

[agent2011]

agent2011

лучше "port based vlan", статик мак не спасёт вас от левых dhcp-серверов

 

но все же сможет ограничить широковещательные пакеты? в том случае если мак не прошел авторизацию по порту.

вот что пишут про такую же функцию в модели des-2108:

"После таких манипуляций на указанный порт будут отсылаться кадры только для заданного MAC-адреса (и широковещательные, разумеется). Тем самым, даже если кто-то подключится к этому порту, то он не сможет нормально работать – коммутатор просто заблокирует его кадры."

[s.lobanov]

Какой конкретно функционал(оригинальное название от производителя) вы называете "авторизацией по маку"?

[bos9]

"После таких манипуляций на указанный порт будут отсылаться кадры только для заданного MAC-адреса (и широковещательные, разумеется). Тем самым, даже если кто-то подключится к этому порту, то он не сможет нормально работать – коммутатор просто заблокирует его кадры."

 

вероятно он ("злоумышленник") не сможет получать ответные кадры, если выключено изучение на порту (видимо DLF в такой порт не направляется) и создана статическая запись в fdb, но это никак не помешает отправлять данные с не валидного мака. Но кто сказал, что не валидные DHCP у вас в сети будут работать с не валидных мак адресов?

Если бюджета на коммутаторы с полноценным acl не хватает, посмотрите в сторону workaround'ов костылей типа dhcdrop.

Изменено 10 марта, 2013 пользователем bos9

[s.lobanov]

Если бюджета на коммутаторы с полноценным acl не хватает, посмотрите в сторону workaround'ов костылей типа dhcdrop.

 

или делайте как белые люди - port-isolate (и при необходимости proxy-arp в точке терминирования)

[agent2011]

"После таких манипуляций на указанный порт будут отсылаться кадры только для заданного MAC-адреса (и широковещательные, разумеется). Тем самым, даже если кто-то подключится к этому порту, то он не сможет нормально работать – коммутатор просто заблокирует его кадры."

 

вероятно он ("злоумышленник") не сможет получать ответные кадры, если выключено изучение на порту (видимо DLF в такой порт не направляется) и создана статическая запись в fdb, но это никак не помешает отправлять данные с не валидного мака. Но кто сказал, что не валидные DHCP у вас в сети будут работать с не валидных мак адресов?

Если бюджета на коммутаторы с полноценным acl не хватает, посмотрите в сторону workaround'ов костылей типа dhcdrop.

 

да вот, заказал уже des-1210-28/me b2 ревизии, буду пробовать ковырять ACL.

 

Всем спасибо!

Изменено 10 марта, 2013 пользователем agent2011

[rdc]

Всё это костыли. Заткнуть все возможности хомячков нагадить друг другу не удастся.

Правильное решение - изоляция прямого трафика. Либо traffic_segmentation в простейшем случае, либо по влану на клиента.

[agent2011]

в общем собрались покупать des-1210-28, будем использовать acl ip-mac-port биндинг и dhcp скрилинг и порт бейсед vlan)