Вирус-то "alman"? Мы с ним крупно прилипли недавно, сетку плющило и колбасило здорово, приходилось на 3526 целые сегменты отключать, т.к. дальше шли 1016 и подобные. Сейчас перепроектриуем сетку, переносим 3526 на уровень доступа, хотелось-бы получить готовое лекарство от таких напастей.

ARP атаки - самые злые атаки в езернете. лекарств может быть два - либо фильтрация arp пакетов с кривым содержимым с помощью списков доступа, либо с помощью новых фич появившихся в ip-mac-port binding-е.
Лично я пока использую первый вариант т.к. он работает железно, хоть и громоздок и неуклюж (куски конфигов свичей приходится генерировать скриптами). Второй вариант пока тестируется.

Если в центре DES-3852, а уровень доступа DES-3026 и DES-3028, можно как то побороть эту головную боль Ethernet сети?

И еще вопросик, если в логах 3852 появляются записи вида:

то он передает броадкастовые ARP Reply на остальные порты или они на этом 39 порту так и зарубятся автоматом?

Можно, что Вам мешает использовать ACL на DES-38XX и DES-3028. Указанное сообщение означает что либо кто-то в сегменте сети подменил IP-адрес на адрес интерфейса свитча, либо есть петля в сегменте.

Неплохо бы написать в FAQ про боорьбу с ARP спуфингом, для коммутаторов котоыре поддерживают ACL. 3028, 3526

В принципе похожий FAQ уже написан http://www.dlink.ru/technical/faq_hub_switch_115.php

Совет! Срочно упрощайте процедуру, я конечно понял, но потребовалось время. Об удобстве конфигурирования речи вобще нет, 1 клиент еще нормально, много клиентов - смерть админа.

сорри за много букфф, и за почти флейм, ну и явный оффтоп тоже сорри:
смерть админу, и тут же рождается если не программист, то хотя б раб-кодер, и появляются скрипты на всё и вся, либо чтоб по SNMP править, либо чтоб сам конфиг генерить... а потом прикручивается базка, заодно "мониторинг лога", например, начинаем с разбора трапов и сислога и много чего ещё, и дополняется вёб-мордой для анализа логов и генерации тех же конфигов (была однажды надобность делать собственную вёб мордочку д-линоквской железки, так что странички парсяться и скармливаются уже в новом виде юзверю)...
...и утро админа начинается с мониторинга а конфигурирование, это уже теперь ещё ближе к творчеству, помимо админства ещё и дизайн скрипта, если не сам делаешь (когда их очень много надо сделать лучше "раба" завести, будет кодить, а кодить хоть на батники/перле/пхп что выберите...)

да и дополняется всё это всякими полезностями: схемой сети, при чём с возможностью верификации того что задумывалось и то что получилось, например, на основе известных маков на портах коммутаторов, ну и такая мелочь как быстрый доступ через java-applet к CLI в железках, через эту вёб-морду, добились что и пароли знать на железки не надо, пароль на доступ к системе важен, остальное уже автоматом "сервак с этой мордой", а он с достаточно большим кол-вом скриптов, особенно с целью расширить функционал стандартных возможностей вёб-интерфейсов железяк, типа клацаем на какой-нибудь порт в одном из стэкированных сегментов, и быстрый просмотр наложеных блокировок системы или поиск изменеий состояний sfp...

зы. к чему это написал?... жизнь бывает ещё сложнее, и тогда замороченность правил мелочь, радуешься уже их универсализму, что надо юзаешь контент фильтер по быстрому, а не эзернет-хэдер просматриваешь, ну или наоборот, зависит какие скрипты лучше проработаны и удобнее, особенно когда надо оттестить новую схему, идея созрела, скрипты есть, вот тут выигрышь, не надо тратить время на их написание и отладку самих скриптов (если вбивать более 5 строк, то скрипт без вариантов, а если копи-паст из файлика каких-нибудь маков, то чуть ли не завтра они изменятся, то читаем из базки), но.. но пишуться все они заранее, это понятно, и будет целый проект, да и перерабатывать приходится часто, от прошивки даже зависит, например даже меняются теже OID'ы... но жить можно когда всё по стандарту... тогда клиентский порт на циске или длинк или тот же триком -- уже не важно для рядового сотрудника IT-support и утро легче, и день спокойней, и ночь без звонков, даже "трапы домой перестали прилетать" и внедрять что либо легче -- есть система либо хотя бы идеалогия ) но тогда есть заморочки со скриптами
...и выбираем меньшее из зол (для себя/коллег/конторы), либо более перспективное (для себя/коллег/конторы)

2Gravis_D-Link: ну ты ничего нового не написал, это все ежу понятно. Я прост осчитаю что вся процедура должна быть оформлена в виде одной команды CLI! А уже как оно там внутри устроено, это дело второе.

да вот в том-то и дело, что нового ничего, но так и не попалось хоть сколько-нибудь универсальной тулзы, да многие разработчики железяк делают проги для управления сетью, но сугубо только своими железками, а универсальных тулз так и не попалось, вот и приходится на коленке мастерить, что не есть хорошо, в этом и про CLI согласен, но обычно, в таком случае, делают большое кол-во разных типов правил, в которых ещё надо научиться ориентироваться и не тебе одному, а железяк и производителей много, и прошивки тоже меняются(хотя это почти всегда только хорошо, есть надежда в лучший функционал )... так что пока это незбыточная мечта, а вот гибкий универсальный инструмент, причём почти под всё что угодно -- это очень хорошо, вот у др.производителей, есть и CLI, даже в мануале расписано, но тот же скрипт удобней делать когда всё однообразно и чуть ли не таже команда, для быстроты и тестов проще/удобней через что-то одно, а потом можно думать как оптимизировать

так давайте зделаим такую систему мечты, поднимим svn серваг, форум для разработчегов, организуем камитет куда вайдут самые прадвинутые кодеры каторые будут проектировать систему в целом и выпускать стондарты а также координировать действия учаснигов, каждый внесёт свои пять копеек собирём мильён и выложым всё по GPL или BSD лицензии. А длинк нас будет финансировать, шутка, будет памагать советами .

_________________
--

И только все отладим - каким нибудь умным головам в тайване мысль придет и 3526 снимут с производства.. Как подумаю об этом страшно становится..

Ну система то будет универсальной (модульной) поддержка длинков будет опциональной в виде модуля, да врятли его снимут это наш народный комутатор можно сказать, у нас он уже на конечных точках доступа почти везде стоит. А вот управлять этим хозяйством централизовано неполучается пока.

_________________
--

Здравствуйте.

Прошу помощи в вопросе борьбы с arp-spoofing’ом. Есть небольшая сеть (около 100 клиентов), построенная на DES-1226G. Один 1226 стоит в "центре", а к нему подключены звездой другие 1226. Далее в них уже сидят клиенты. В последнее время на шлюзе стали часто появляться сообщения вида:



На вирус это не очень похоже. Скорее всего, что кто-то начал заниматься arp-spoofing’ом. Все MAC-адреса, начинающиеся на "5a", левые. Хорошо бы было найти того, кто это делает, но для начала хочу хоть как-то ограничить это зло, поставив в "центр" DES-3526. Понятно что это полностью не решит проблемы, но во всяком случае будут страдать 10-15 клиентов, а не все сразу. Перечитал все темы на этом форуме, связанные так или иначе с фильтрацией arp (ссылки на faq само собой тоже), но так и не понял каким образом правильно составить правила acl, чтобы ограничить кривые arp-reply. Пары mac-ip, которые будут сидеть на каждом порту 3526 известны. Может тогда поможет просто создание привязки ip-mac-port?

Заранее большое спасибо за любую помощь.

P.S. Прошивка на DES-3526 самая последняя (получил по почте от сотрудника Д-Линк. За что отдельное спасибо).

Можно включить IP-MAC-Port в режиме ARP или ACL с указанием опции strict на порту при настройке функции. Это исключит ARP Spoofing.