И так во первых позравляю самого себя с возвращением в этот форум Хто меня помнит всем привет.

Теперь собственно вопрос для знатоков:

К коммутатору DES-3350SR (ядро сети) подлюченны разнообразнейшими способами всякого рода клиенты с выделенными внешними IP адресами. В том числе и сервер домашней сети за которым прячуются более скромные клиенты за NAT-ом.

Так вот в силу большого стечения обстоятельств сервер крутится на Windows 2003 и в случае если его внешний IP адрес пытаюся занять на ядре (тоесть происходит конфлик IP адресов), детище БГ уходит в глубокий ступор а вместе с ним туда уходит и вся домашняя сеть.

Задача на DES-3350SR создать правило ACL (или другим способом) которое разрешало бы использовать IP адрес этого сервера домашней сети только на одном порту. А если же этот IP адрес появится на других портах посылать его к проотцам протокола TCP/IP.

Заранее спасибо всем умным мира сего.

_________________
D-Link User: DGS-3612G, DES-3350SR, DES-3526, DES-3028, DES-3010G, DES-1210-28, DES-2110, DWL-900AP+, DWL-1000AP+, DWL-1040AP+, DWL-2100AP, DI-634M, DWL-G520M, DWL-G650M, DWL-G650, DAS-3248, DSL-300T, DSL-500T, DSL-504T, DMC-920, DCS-2101, DCS-910.

Настройте IP-MAC Binding на коммутаторе. В этом случае все связки, в которых будет IP-адрес сервера и MAC-адрес любого клиента будут блокироваться глобально на коммутаторе.

Теперь поподробнее если не затруднит:

1. IP-MAC Binding Port State нужно включать на каких портах и вобще нужно ли включать?
2. IP адрес коммутатора должен находится в одной подсети с адресами сервера и клиентов?
3. IP-MAC Binding Table в эту таблицу занести IP и MAC сервера???

_________________
D-Link User: DGS-3612G, DES-3350SR, DES-3526, DES-3028, DES-3010G, DES-1210-28, DES-2110, DWL-900AP+, DWL-1000AP+, DWL-1040AP+, DWL-2100AP, DI-634M, DWL-G520M, DWL-G650M, DWL-G650, DAS-3248, DSL-300T, DSL-500T, DSL-504T, DMC-920, DCS-2101, DCS-910.

1. Нужно включать на всех портах.
2. IP-интерфейсы у Вас же есть во всех VLAN-ах.
3. В таблицу занести все ликвидные связки IP-MAC, включая серверную.

Так с остальными пока подождём.

Исходя из того что сервер имеет IP адрес 192.168.1.1 и MAC-адрес ad:cd:ef:gh:11:22 и подключён к 46-му порту коммутатора достаточно будет таких команд для того чтобы поддельный IP адрес доходя до ядра сети (DES-3350SR) не вызвал комфликт IP адресов с сервером:

_________________
D-Link User: DGS-3612G, DES-3350SR, DES-3526, DES-3028, DES-3010G, DES-1210-28, DES-2110, DWL-900AP+, DWL-1000AP+, DWL-1040AP+, DWL-2100AP, DI-634M, DWL-G520M, DWL-G650M, DWL-G650, DAS-3248, DSL-300T, DSL-500T, DSL-504T, DMC-920, DCS-2101, DCS-910.

Нет нужно прописать всех клиентов на всех клиентских портах и включить эту функцию и на них.

А лучше выделить серверы в отдельный вилан и пусть 3350 между ними рутит - он же L3.

respect 2 UglyAdmin! верно подмечено

Есть ещё один вариант почему детище БГ уходит в глубокий ступор, если кто то из пользователей сидит под никсой, достаточно внести в арп табличку ип сервера с неправельным маком (pub) сервер ляжет...

Страный, сервер какойто, вообще то у деток БГ есть правило кто первый встал того и тапки.... то есть если IP занят, а кто то хочет такой же - то обоим придёт увидомление что IP такойто занят таким то МАКом и не даст новому его использовать, старый попрежниму будет работать, если конечно он у вас постоянно не перегругружается

Вообще то от таких вещей в первую очередь сносит башню свичам, т.к. они не могут толком понять куда собсно слать пакеты адресованные конкретному IP, т.к. MAC-и разные...

вопрос был по детог БГ, которых защищять привык ибо без ума от них особенно последних... сорри за предвзятость... а свичи так это само собой - теорию то все знают как ОНО работает
к томуже - у виндовс - перед тем как присвоить IP проверяет на совподение - свичам и хабам голову не сносит - на моём личном опыте было дело и не раз - хитрые пользоватетели всегда найдутся.
другое дело подмена МАКов... вот тут конечно нихт безондерс гуд...

Хм... а если у меня на остальных портах вистит куча сетей. То есть не одно устроиство а ещё Свичи... ТД... ADSL....

_________________
D-Link User: DGS-3612G, DES-3350SR, DES-3526, DES-3028, DES-3010G, DES-1210-28, DES-2110, DWL-900AP+, DWL-1000AP+, DWL-1040AP+, DWL-2100AP, DI-634M, DWL-G520M, DWL-G650M, DWL-G650, DAS-3248, DSL-300T, DSL-500T, DSL-504T, DMC-920, DCS-2101, DCS-910.

Да он как бы работает. Тоесть видит всех вокруг окромя шлюза. И из опыта скажу что если вредный пользователь будет занимать адрес с Nix-овой машины то в борьбе за место под Свичём победит как это не прискорбно Линуксовая машина.

Вобщем будем устраивать натурные испытания о результатах отпишу.

_________________
D-Link User: DGS-3612G, DES-3350SR, DES-3526, DES-3028, DES-3010G, DES-1210-28, DES-2110, DWL-900AP+, DWL-1000AP+, DWL-1040AP+, DWL-2100AP, DI-634M, DWL-G520M, DWL-G650M, DWL-G650, DAS-3248, DSL-300T, DSL-500T, DSL-504T, DMC-920, DCS-2101, DCS-910.

Вобщем чего-то не очень получается.

В статическую АРП таблицу коммутатор по каким-то причинам не хотит добавлять запись.

А если использовать IP-MAC то действительно прийдётся прописать все связки всех клиентов.

С VLAN ещё не сталкивался... поэтому тяму нехватает как их замуть.

_________________
D-Link User: DGS-3612G, DES-3350SR, DES-3526, DES-3028, DES-3010G, DES-1210-28, DES-2110, DWL-900AP+, DWL-1000AP+, DWL-1040AP+, DWL-2100AP, DI-634M, DWL-G520M, DWL-G650M, DWL-G650, DAS-3248, DSL-300T, DSL-500T, DSL-504T, DMC-920, DCS-2101, DCS-910.