Нет.
Уже тянем ..

Пользуясь случаем, хочу пере...тьфу, не то.

Правильно ли я понимаю, что в итоге схема будет выглядеть так:

1. DHCP + Opt82 (узнаём и привязываем тем самым mac к порту коммутатора)
2. ACL для блокирования левых DHCP (при отсутствии DHCP Snooping)
3. IP-MAC-Port binding для блокирования подмен IP и/или MAC
4. ACL по packet_content_mask для блокирования arp spoofing клиентских машин:
4.1 Разрешаем [широковещательные] ARP-запросы с sender MAC и sender IP конкретно для клиента с этим MAC и IP.
4.2 Разрешаем [юникастовые] ARP-ответы с sender MAC и sender IP конкретно для клиента с этим MAC и IP.
При необходимости пункты 4.1 и 4.2 обоьединяются в более общее правило требования ARP-пакетов с sender MAC и sender IP конкретно для клиента с этим MAC и IP без уточнения типа ARP (REQ/REPL) и его направления (BROAD/UNIC)

Правильно?

в заголовке темы указан DES-3028


не знаю, не юзал ... у меня где-то валяется 2950, можно конечно глянуть есть ли оно там, но цена вопроса ... она далеко не такая же как у D-Link ... тот же 2950 по GPL стоит как L3 D-Link ... а если на 2950 оно не работает, а есть только на 4-х, 5-ти, 6-ти и 7-ми тонниках тогда что? приплыли? ставить на дом подобный свич - это, IMHO, даже по меркам СпБ чересчур круто ...

P.S. никогда не думал о необходимости гигабита до клиента, честно ... даже не знаю зачем это нужно ...

_________________
с уважением, БП

Фидошники сабжа не меняют!


Как показывает практика "старших товарищей", очень даже востребованно получается. По "всем хватит 640 кб памяти" мы помним, да?

приятно встретить Вас здесь, Капитан Очевидность!


если серьезно, то даже для вещания Full HD (модный термин, да) видео хватит и 100 мегабит на юзера, главное чтоб магистрали были широкими, IMHO ...


про 640КБ было буквально вчера! а потом он взял и все испортил ...

_________________
с уважением, БП

Я даже больше скажу, я дома через WiFI спокойно смотрел HDTV
Но поскольку всем хочется "побольше, ещё больше", а цены на инет и так уже ниже плинтуса, то пущай будет гигабит. Всё равно к этому придём.

с этого момента, пожалуйста, поподробнее! что за wifi? частоты? оборудование? занимаемая HDTV полоса? а то я тут думаю пустить TV в радио, но "че-то я очкую, Славик"(с)


да мало ли кому чего хочется? сейчас можно спокойно использовать обычный кабель для 2-х юзеров, что позволяет выдавать им 100 мегабит и удешевляет только кабель ровно в 2 раза, а с гигабитом такой фокус не пройдет - там надо все жилы, да и свичики под гигабит подороже будут, что еще больше удорожает строительство ... это все только для лозунга "гигабит каждому!"? в сад! гигабит на юзера экономически не выгодно, а техническая сторона вообще оставляет сомнения в его необходимости, IMHO ...

_________________
с уважением, БП

Да любой в зоне прямой видимости и не запредельном расстоянии.
HDTV поток занимает не больше 20Мбит/с.


+1

Да на 100 Мбит/с 50-60 человек в доме нормально работают и все летает. Только не надо рассказывать что у вас при этом 10G до дома лежит, а на группе домов вы из 10G вообще транки вьете!

Каналы во внешний мир у вас какие? Какие у вас в сети тарифы? Расслабьтесь про гигабит. Денег если много, то лучше вложить с умом во что-нибудь другое.

Мысленно представьте дом в 10 подъездов и 17 этажей, коммутатор стоит на крыше над каждым подъездом. У клиента на 1 этаже в квартиру необходимо завести 25 метров кабла. В лучшем случае вы уложитесь в 90 метров от точки коммутации. Емкость такого дома до 300 абонентов при отсутствии явной конкуренции. Клиенты в кол-ве 300 человек сидящие в онлайн при развитых файлообменных сервисах в сети могут создать долговременный трафик около 400-500 Мбит/с с кратковременными 700-800 Мбит/с. На дом более чем хватает 1 Гбит/с. При попытке построить там честный гигабит до клиента стоимость строительства взлетает в 4-5 раз. Учитывайте что тарифы поднять в 4-5 раз вы не сможете даже теоретически. Следовательно вы просто увеличиваете сроки окупаемости в несколько раз. Срок жизни домового оборудования и цикл его полной замены что для гигабитного, что для стомегабитного оборудования одинаковый. Причем он также одинаковый как для управляемого так и для неуправляемого оборудования. В итоге в течение срока окупаемости вы увеличиваете число полных циклов замены оборудования оттягивая получение реальных заработанных денег на долгий срок.

Гигабит до дома и честная сотка до клиента, а остальное лишь пускание пыли в глаза. Если есть желание меряться кое-чем со "старшими" товарищами, то пожалуйста, да только вот размер не главное.

если мостом, то возможно и любое, а если это ТД на которой висят пара десятков клиентов? сдается мне что мои 1200-е аэрокоты испустят дух от такой нагрузки

_________________
с уважением, БП

подскажите.
хочу запретить arp ответы с ip шлюза
например 172.31.176.2
обычно я блокирую по маске 0x0000FFFF, т.е. IP x.x.176.2
из опыта 3526 делаю (смещение vlan 4 байта)


атака проходит (тестю с нотбука)
делаю без смещения:


атака проходит (тестю с нотбука)
где я ошибся?

И не будет работать.
У тебя сравнения с какого байта начинаются по маске ?

вот твой вариант:

и вместо 27-ми правил расходуешь всего два.
Данное правило работает на клиентских нетегированных портах.

offset 30 пробовал ) вот результат


я думал что offset можно только с шагом в 4 байта, поэтому и 28 было
p.s.: 26й тэгированный)

Эээээ .... кривовато малость ... ща поправлю

Вот рабочая ...


Я не делил IP адрес поэтому и махнул ...