agent2011 Опубликовано 9 марта, 2013 (изменено) · Жалоба Всем привет! есть сетка, небольшая, построена на неуправляемых свичах для раздачи Интернета. Время от времени юзеры покупают роутеры и пытаются их самостоятельно настроить, вставляют кабель не туда куда надо в итоге появляются в сети левые dhcp серверы. Решил приобрести данный управляемый коммутатор для защиты за 2000 руб. (d-link des-1100-16/24) Скажите пожалуйста, функция static mac оградит сеть от широковещательных пакетов на этом порту который не прошел авторизацию по маку? или все же не оградит? или использовать лучше port based vlan ? который изолирует каждый порт в свою подсеть, но при этом оставить видеть всем портам порт сервера? хотелось бы конечно чтобы в сети все видели друг друга. Просто есть средства в размере 5 т.р. на закупку парочки таких коммутаторов. хотелось бы конечно взять des-1210, но опять же их нужно две, но в бюджет уже следовательно не влазию. они по 5600 стоят. Изменено 10 марта, 2013 пользователем agent2011 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
agent2011 Опубликовано 10 марта, 2013 · Жалоба все смотрят, но никто на простой вопрос ответить не может. теме ап. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 10 марта, 2013 · Жалоба agent2011 лучше "port based vlan", статик мак не спасёт вас от левых dhcp-серверов Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
agent2011 Опубликовано 10 марта, 2013 · Жалоба agent2011 лучше "port based vlan", статик мак не спасёт вас от левых dhcp-серверов но все же сможет ограничить широковещательные пакеты? в том случае если мак не прошел авторизацию по порту. вот что пишут про такую же функцию в модели des-2108: "После таких манипуляций на указанный порт будут отсылаться кадры только для заданного MAC-адреса (и широковещательные, разумеется). Тем самым, даже если кто-то подключится к этому порту, то он не сможет нормально работать – коммутатор просто заблокирует его кадры." Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 10 марта, 2013 · Жалоба Какой конкретно функционал(оригинальное название от производителя) вы называете "авторизацией по маку"? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bos9 Опубликовано 10 марта, 2013 (изменено) · Жалоба "После таких манипуляций на указанный порт будут отсылаться кадры только для заданного MAC-адреса (и широковещательные, разумеется). Тем самым, даже если кто-то подключится к этому порту, то он не сможет нормально работать – коммутатор просто заблокирует его кадры." вероятно он ("злоумышленник") не сможет получать ответные кадры, если выключено изучение на порту (видимо DLF в такой порт не направляется) и создана статическая запись в fdb, но это никак не помешает отправлять данные с не валидного мака. Но кто сказал, что не валидные DHCP у вас в сети будут работать с не валидных мак адресов? Если бюджета на коммутаторы с полноценным acl не хватает, посмотрите в сторону workaround'ов костылей типа dhcdrop. Изменено 10 марта, 2013 пользователем bos9 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 10 марта, 2013 · Жалоба Если бюджета на коммутаторы с полноценным acl не хватает, посмотрите в сторону workaround'ов костылей типа dhcdrop. или делайте как белые люди - port-isolate (и при необходимости proxy-arp в точке терминирования) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
agent2011 Опубликовано 10 марта, 2013 (изменено) · Жалоба "После таких манипуляций на указанный порт будут отсылаться кадры только для заданного MAC-адреса (и широковещательные, разумеется). Тем самым, даже если кто-то подключится к этому порту, то он не сможет нормально работать – коммутатор просто заблокирует его кадры." вероятно он ("злоумышленник") не сможет получать ответные кадры, если выключено изучение на порту (видимо DLF в такой порт не направляется) и создана статическая запись в fdb, но это никак не помешает отправлять данные с не валидного мака. Но кто сказал, что не валидные DHCP у вас в сети будут работать с не валидных мак адресов? Если бюджета на коммутаторы с полноценным acl не хватает, посмотрите в сторону workaround'ов костылей типа dhcdrop. да вот, заказал уже des-1210-28/me b2 ревизии, буду пробовать ковырять ACL. Всем спасибо! Изменено 10 марта, 2013 пользователем agent2011 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdc Опубликовано 11 марта, 2013 · Жалоба Всё это костыли. Заткнуть все возможности хомячков нагадить друг другу не удастся. Правильное решение - изоляция прямого трафика. Либо traffic_segmentation в простейшем случае, либо по влану на клиента. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
agent2011 Опубликовано 11 марта, 2013 · Жалоба в общем собрались покупать des-1210-28, будем использовать acl ip-mac-port биндинг и dhcp скрилинг и порт бейсед vlan) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...