Задача: предотвращение атаки типа "переполнение таблицы MAC адресов"

В любом случае буду использовать IMB, т.к. на него уже написаны все интерфейсы на системе упраления.

Сейчас стоит несколько 3526 (IMB) и несколько 3828 (IMB + routing). IMB в режиме ARP.

Совместно хотел использовать IMP с PS на условиях, что на каждом порту разрешается 64 мака с параметром DeleteOnTimeout. Однако заюзать данную тему не получилось

Насколько я понял из информации, найденной на форуме, PS можно использовать совместно с IMB, но только если будет 1 мак на порт. Сделать это пока нереал, т.к. стоит куча неуправляемого железа, подключенного звездой, в центрах или 3828 или 3626.

Как вариант ещё рассматриваю использование IMP в ACL режиме, ну и PS на 64 мака на порту. Но тут смущает следующее: заблокированные маки не будут видны, а это уже будет сильно напрягать техподдержку при разборе полётов.

Что посоветуете? Такой атаки пока ещё у меня не было, но чую скоро будет.

Немного не понял. Поясните пожалуйста как Вы настраивали Port Security вместе с IMP и что у Вас не получилось. Вы имели ввиду прописывание статических записей в таблицу MAC-адресов при включении Port Security? В этом случае кстати у Вас есть вариант. Прописываете нужные адреса в статическую таблицу MAC-адресов и выключаете Learning на порту. А Port Security не включаете.

Вообще, в идеале, я хотел на портах поставить ограниченное число изучаемых MAC адресов.

Но, т.к. на свиче настроен IMB, при включении PS получаю сообщение:

Ну и соответственно не включается.

Делаю на основе данных с мануала:

Т.е. как я понял, включая эту функцию на порту, я получаю функционал работы свича в том режиме, при котором на определённом порту я могу задать определённое количество изучаемых MAC-адресов, что и будет решением моей задачи.

P.S. или я туплю, или одно из двух: не нашёл на 3526 в консольке или в веб-морде таблицу статических MAC-адресов

create fdb default 11-22-33-44-55-66 port 1

не оно?

PS а в чем разница?

DES-3526:admin#create fdb default 11-22-33-44-55-66 port 26
Command: create fdb default 11-22-33-44-55-66 port 26

MAC Address must be unicast!

DES-3526:admin#create fdb default 00-22-33-44-55-66 port 26
Command: create fdb default 00-22-33-44-55-66 port 26

Success.

Это из запрещённых или зарезервированных адресов.

а можно про это поподробнее? коммутатору разве не все равно какое значение в буквах и цифрах мак-адреса?

Нет не всё равно. Нет возможности добавить определённые адреса, которые являются зарезервированными, в функциях.

т.е. он по разному их обрабатывает? или что? зарезервированы они под что?
и что будет с коммутатором если ему придет обычный пакет с мак адресом из "необычного" диапазона?

Обрабатывает по разному. Обычно такие MAC-и дропаются.