Более того, даже в мануале не писал, ни словечка.


Когда настраивал ошибся, а копировал в момент настройки )) Или вы думаете что я из головы все это выдумал? =))))

ЗЫ
Если есть сомнения - возьмите да проверьте )

не используем DHCP пока, щас другие намучаются отточат до конца, тогда может быть и введем)
вообще авторизации по номеру порта очень хорошая идея, даже самая лучшая наверное, правда тогда должен быть полный порядок в сети.

По поводу forward_dhcppkt disable. Эта опция позволяет при использовании вместе с DHCP Relay блокировать Broadcast DHCP пакеты в клиентских VLAN-ах при Relay чтобы исчключить повторный Relay пакеты вышестоящим устройством в цепочке или кольце. По поводу проблемы с ARP Spoofing попробуйте всё-таки выставить strict при включении функции на порту.

Для порта "хацкера" (порт 2) пробую


В результате на коммутаторе вижу

Т.е. - ничего не изменилось
из чего я делаю предположение что режим strict является "умолчальным".


Соответсвенно, поведения коммутатора при атаке тоже никак не поменялось.

попытка

тоже не дает никакого результата.


Я конечно могу ошибаться, но единственно верным ответом на атаку arppoison может быть только отключение порта при привышении лимита маков.

Иван, 2 вопроса
1. Смоли ли Вы у себя на тестовом стенде проверить наличие проблемы?
2. Если проблема подтверждается - то какой ориентировочный срок решения проблемы?

_________________
Если пушки в цене - значит дело к войне,
Кто не хочет платить тот заплатит вдвойне.

Мы занимаемся этой проблемой. Как только будут новости сообщим.

Дополнительное исследование показало, что коммутатор совершенно беззащитен перед атакой arppoison даже при включении port_security

Иван, плз, дайте какие-то прогнозы.

_________________
Если пушки в цене - значит дело к войне,
Кто не хочет платить тот заплатит вдвойне.

Как только будет информация сразу же сообщу.

Кстати, а как этим рулить через SNMP ?

Как через SNMP проставить-снять
Forward DHCP Packet, DHCP Snoop Max Entry

И еще, вроде все верно сделал.

config address_binding ip_mac ports 1-24 state enable
config address_binding ip_mac ports 1-24 allow_zeroip enable
config address_binding ip_mac ports 1 forward_dhcppkt disable
enable address_binding acl_mode
enable address_binding trap_log
enable address_binding dhcp_snoop
create address_binding ip_mac ipaddress 10.10.11.14 mac_address 00-30-4F-30-9A-22 ports 1 mode acl
config address_binding dhcp_snoop max_entry ports 1 limit 1
config address_binding dhcp_snoop max_entry ports 2 limit 5
config address_binding dhcp_snoop max_entry ports 3 limit 2
...

Ни мак ни IP ни тот (специально завел на 1 отличающийся), но адрес он по DHCP получает.. Дальше не работает.

Если убрать
config address_binding ip_mac ports 1 forward_dhcppkt disable

то адрес получает и работает, что вроде верно.
Почему получает при disable? мак то не из списка ? В принципе, не очень критично, там выдавать никто не будет, но не доработачка-с.....

Повторяю эксперемент для DES-3028, свич сбрасываю в умолчальные настройки



Настраиваю клиентские порты (1-24) и "магистральные" (25-28)
В моем тесте роутер подключен к 27 порту, но может быть подключен к любому из гигабитов.



Настраваю IP адрес интерфейса управления


Проверяю


Настраиваю dhcp_reley opt 82, dhcp_snoop (аналогично DES-3526)






Вобщем, все настройки аналогичны настройкам для DES-3526.

Проверяю на WinXP, получаю с 9-го порта ....

Cо стороны DHCPd


На коммутаторе


Пробую сменить адрес с выданного DHCPd на другой из той же подсети, коммутатор успешно блокирует.

Запускаю arppoison cо второго (реально - с любого) порта, и имею






Пробую получить IP адрес, адрес в отличии от DES-3526 хоть и с очень долгой задержкой, но выдается.
Но при этом



Т.е. в таблице привязок мак не попадает.
Более того, даже после завершения атаки нормально привязки работать не начинают - тестовый ноут получает адрес но траффик через коммутатор не ходит.

Возобнавляется нормальная работа только после


Возможно, так же возобновится работа через время, я ждал минут 5, не больше.


Иван, я понимаю что я у вас не единственный клиент, но все же, не могли бы Вы сообщить хоть ориентировочные сроки решения проблемы?




Дополнение.
Отмечу особо, что во время атаки траффик через коммутатор НЕ ХОДИТ.
Т.е. Еслли на тестовом ноуте получить адрес До начла атакии поставить аинг на шлюз, то после атаки пинг пропадает.

Отмечу, что насколько я смог выяснить, коммутатор не переходит в режим хаба, по крайне мере отснифферить сам факт атаки и определить с какого она порта мне не удалось.

_________________
Если пушки в цене - значит дело к войне,
Кто не хочет платить тот заплатит вдвойне.

To just-me:

Это не недоработка а неправильная настройка. Эта опция нужна в том случае если Вы используете Relay. Как я вижу Вы Relay не используете. Она в вашем случае должна быть выставлена в enable. Она позволяет блокировать при включённом Relay оригинальный Broadcast DHCP пакет в клиентском VLAN-е. У Вас она и блокирует этот пакет и он не доходит до сервера, а так как Relay у вас выключен, то никакого другого пакета и нет. Потом зачем вы включили одновременно ACL mode и DHCP Snooping mode? Это взаимоисключающие режимы. И связку на первом порту тоже уберите.

To sirmax1:

Перезвоните пожалуйста завтра в офис по телефону +7(495)744-00-99 доб.390.

Там еще есть
enable dhcp_local_relay
config dhcp_local_relay vlan vlanid 1 state enable

А причём здесь DHCP Relay Local? Перезвоните пожалуйста в офис по телефону 744-00-99 доб.390.

Меня интересует:
1. На какое время блокируется порт если человек выбрал лимит связок либо поменял мак и тп?
2. И возможноли задать какое-то время определенное например сутки, чтобы человек мог осознать свои действия?А то как то негуманно человека лишать доступа к сети например на неделю он же весь плеш проест службе поддержки

Мы про какой режим IMP?

Режим dhcp_snoop
можно ли уменьшить время бана?