Jump to content
Калькуляторы

d-link des-1100-16/24 static mac как работает?

Всем привет! есть сетка, небольшая, построена на неуправляемых свичах для раздачи Интернета.

Время от времени юзеры покупают роутеры и пытаются их самостоятельно настроить, вставляют кабель не туда куда надо в итоге появляются в сети левые dhcp серверы.

Решил приобрести данный управляемый коммутатор для защиты за 2000 руб. (d-link des-1100-16/24)

Скажите пожалуйста, функция static mac оградит сеть от широковещательных пакетов на этом порту который не прошел авторизацию по маку? или все же не оградит?

или использовать лучше port based vlan ? который изолирует каждый порт в свою подсеть, но при этом оставить видеть всем портам порт сервера? хотелось бы конечно чтобы в сети все видели друг друга.

 

Просто есть средства в размере 5 т.р. на закупку парочки таких коммутаторов. хотелось бы конечно взять des-1210, но опять же их нужно две, но в бюджет уже следовательно не влазию. они по 5600 стоят.

Edited by agent2011

Share this post


Link to post
Share on other sites

agent2011

лучше "port based vlan", статик мак не спасёт вас от левых dhcp-серверов

 

но все же сможет ограничить широковещательные пакеты? в том случае если мак не прошел авторизацию по порту.

вот что пишут про такую же функцию в модели des-2108:

"После таких манипуляций на указанный порт будут отсылаться кадры только для заданного MAC-адреса (и широковещательные, разумеется). Тем самым, даже если кто-то подключится к этому порту, то он не сможет нормально работать – коммутатор просто заблокирует его кадры."

Share this post


Link to post
Share on other sites

"После таких манипуляций на указанный порт будут отсылаться кадры только для заданного MAC-адреса (и широковещательные, разумеется). Тем самым, даже если кто-то подключится к этому порту, то он не сможет нормально работать – коммутатор просто заблокирует его кадры."

 

вероятно он ("злоумышленник") не сможет получать ответные кадры, если выключено изучение на порту (видимо DLF в такой порт не направляется) и создана статическая запись в fdb, но это никак не помешает отправлять данные с не валидного мака. Но кто сказал, что не валидные DHCP у вас в сети будут работать с не валидных мак адресов?

Если бюджета на коммутаторы с полноценным acl не хватает, посмотрите в сторону workaround'ов костылей типа dhcdrop.

Edited by bos9

Share this post


Link to post
Share on other sites

Если бюджета на коммутаторы с полноценным acl не хватает, посмотрите в сторону workaround'ов костылей типа dhcdrop.

 

или делайте как белые люди - port-isolate (и при необходимости proxy-arp в точке терминирования)

Share this post


Link to post
Share on other sites

"После таких манипуляций на указанный порт будут отсылаться кадры только для заданного MAC-адреса (и широковещательные, разумеется). Тем самым, даже если кто-то подключится к этому порту, то он не сможет нормально работать – коммутатор просто заблокирует его кадры."

 

вероятно он ("злоумышленник") не сможет получать ответные кадры, если выключено изучение на порту (видимо DLF в такой порт не направляется) и создана статическая запись в fdb, но это никак не помешает отправлять данные с не валидного мака. Но кто сказал, что не валидные DHCP у вас в сети будут работать с не валидных мак адресов?

Если бюджета на коммутаторы с полноценным acl не хватает, посмотрите в сторону workaround'ов костылей типа dhcdrop.

 

да вот, заказал уже des-1210-28/me b2 ревизии, буду пробовать ковырять ACL.

 

Всем спасибо!

Edited by agent2011

Share this post


Link to post
Share on other sites

Всё это костыли. Заткнуть все возможности хомячков нагадить друг другу не удастся.

Правильное решение - изоляция прямого трафика. Либо traffic_segmentation в простейшем случае, либо по влану на клиента.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.