kirush Опубликовано 1 января, 2014 (изменено) · Жалоба В последнее время участились проблемы в ести с TPLink 841N/D. Если абонент втыкает кабель не в WAN а в LAN, то начинается флуд: 17:46:58.472593 ARP, Request who-has 192.168.0.1 tell 192.168.0.1, length 46 17:46:58.472595 ARP, Request who-has 192.168.0.1 tell 192.168.0.1, length 46 17:46:58.472596 ARP, Request who-has 192.168.0.1 tell 192.168.0.1, length 46 17:46:58.472597 ARP, Request who-has 192.168.0.1 tell 192.168.0.1, length 46 17:46:58.472599 ARP, Request who-has 192.168.0.1 tell 192.168.0.1, length 46 ARP spoofing спасает от подмены шлюза. А подскажите, как с такими бороться на управляемых свитчах? Может выставить какое ограничение на кол-во пакетов? broadcast storm, у кого какие настройки используются, как вычислить threshold? Изменено 1 января, 2014 пользователем kirush Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
want2know Опубликовано 2 января, 2014 (изменено) · Жалоба ip (mac) source guard + dhcp snooping + Dynamic ARP Inspection не спасет? Изменено 2 января, 2014 пользователем want2know Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mirk Опубликовано 8 октября, 2015 · Жалоба Хоть и прошло много времени, но вопрос всё ещё актуален. Оборудование SNR S2960-24G ip (mac) source guard + dhcp snooping + Dynamic ARP Inspection не спасет? Это не спасает т.к. далеко не все клиенты получают ip по DHCP. У Dlink заблокировать ARP можно так - заблокировать хождение arp для всей сети 192.168.0.0/23 create access_profile packet_content_mask offset1 l2 0 0xFFFF offset2 l3 14 0xFFFF offset3 l3 16 0xFE00 profile_id 7 config access_profile profile_id 7 add access_id 1 packet_content offset1 0x0806 offset2 0xc0a8 offset3 0x0000 port 1-28 deny Как нечто подобное можно на SNR сделать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lumenok Опубликовано 12 октября, 2015 · Жалоба А если разрешить арпы только на мак шлюза , а остальные запретить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mirk Опубликовано 12 октября, 2015 (изменено) · Жалоба Сам нашел Нужно смотреть в сторону Self-defined ACL Configuration Сначала делаем шаблон в котором указываем откуда будут начинатся "окна" (есть несколько стартовых позиций и + смещение от них) В зависимости от типа ACL окна бывают разные, короткие swin по 2 байта (FFFF) и длинные lwin по 4 (FFFFFFFF) ВНИМАНИЕ смещение = размеру окна !!! В access-list standard есть только короткие окна по 2 байта. userdefined-access-list standard offset window1 l2endoftag 0 window2 l3start 7 window3 l3start 8 Далее создаем сам профиль описываем маску для окна и ожидаемое значение userdefined-access-list standard 1200 deny any-source-mac any-destination-mac untagged-eth2 window1 806 ffff window2 c0a8 ffff window3 0 fe00 Ну и привязываем правило к порту interface ethernet1/1-24 userdefined access-group 1200 in Данный ACL блокирует все ARP из сети 192.168.0.0/23 Изменено 12 октября, 2015 пользователем mirk Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...