1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Сб авг 16, 2025 07:39

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Эта тема закрыта, Вы не можете редактировать и оставлять сообщения в ней.  Страница 1 из 1
  [ Сообщений: 6 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
igor2121
 Заголовок сообщения: 3828 (Port Security, IP-MAC Binding, Static ARP Settings)
СообщениеДобавлено: Ср дек 27, 2006 20:35 
Не в сети

Зарегистрирован: Ср дек 27, 2006 20:28
Сообщений: 8
Обьясните пожалуйста кому не лень, для чего нужна функция например Static ARP Settings если есть IP-MAC Binding?
Или зачем нужна функция Port Security?
В моей голове все это както дублирует друг друга :oops:

Если можно поподробнее про каждую из них.
Спасибо!
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Ср дек 27, 2006 20:43 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
По порядку:

1) Функция Port Security - это динамический контроль за MAC-адресами на порту.
2) IP-MAC-Port Binding это уже контроль за связками IP-MAC на порту. Возможно совместное использование с функцией Port Security, но в большинстве случаев это излишне.
3) А вот Static ARP это вообще не функция безопасности, поскольку существует только для того чтобы прописать соответствия IP-MAC, чтобы коммутатор не определял их по протоколу ARP. Хотя в принципе ничто не мешает коммутатору помимо статическихз записей добавлять в таблицу и динамические с теми же IP и MAC-адресами.
Вернуться наверх
 Профиль  
 
igor2121
 Заголовок сообщения:
СообщениеДобавлено: Ср дек 27, 2006 21:15 
Не в сети

Зарегистрирован: Ср дек 27, 2006 20:28
Сообщений: 8
Demin Ivan писал(а):
По порядку:

1) Функция Port Security - это динамический контроль за MAC-адресами на порту.
2) IP-MAC-Port Binding это уже контроль за связками IP-MAC на порту. Возможно совместное использование с функцией Port Security, но в большинстве случаев это излишне.
3) А вот Static ARP это вообще не функция безопасности, поскольку существует только для того чтобы прописать соответствия IP-MAC, чтобы коммутатор не определял их по протоколу ARP. Хотя в принципе ничто не мешает коммутатору помимо статическихз записей добавлять в таблицу и динамические с теми же IP и MAC-адресами.


Тоесть если я хочу иметь на устройстве только верные связки ip-mac
достаточно включить функцию IP-MAC-Port Binding и указать порты и правильные связки?
И что означет IP-MAC Binding Mode - ACL Mode ? Вроде и без него все работает :)

И по третьему пункту:
Если добавить в Static ARP:

192.168.0.2 - 00:00:00:00:01:02
192.168.0.3 - ff:ff:ff:ff:ff:ff
192.168.0.4 - ff:ff:ff:ff:ff:ff
192.168.0.5 - ff:ff:ff:ff:ff:ff
192.168.0.6 - ff:ff:ff:ff:ff:ff

Имея при этом интерфейс 192.168.0.1/29
Чем не функция безопастности? :roll:

Или выключить на портах обучение и добавить в Static ARP:

192.168.0.2 - 00:00:00:00:01:02

Что я не так понял? :)
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Ср дек 27, 2006 21:25 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
1) Этого достаточно. В случае ACL режима на портах создаются ACL типа Packet Content Filtering. Разрешить определённый MAC-адрес, разрешить определённый IP-адрес и запретить всё остальное. В случае ARP режима блокировка происходит в результате анализа ARP-пакетов, поэтому возможен пропуск первого ARP-пакета и т.д. А следовательно ARP spoofing, ARP шторм определённых видов.

2) Может быть Вы путаете с FDB? При отключении Learning на порту перестаёт обновляться таблица MAC-адресов. не понимаю зачем добавлять связки с MAC-ом FF-FF-FF-FF-FF-FF. Вообщем это не защищает от большинства случаев смены адресов. Скажем ну прописали вы эту связку и отключили Learning. Что мешает клиенту при этом же MAC-адресе поменять IP-адрес? Ведь ARP таблица при этом может обновляться.
Вернуться наверх
 Профиль  
 
igor2121
 Заголовок сообщения:
СообщениеДобавлено: Ср дек 27, 2006 21:38 
Не в сети

Зарегистрирован: Ср дек 27, 2006 20:28
Сообщений: 8
Наверное, что-то не совсем так понял.
Спасибо за ответы!
С наступающим Вас!
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Ср дек 27, 2006 21:40 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Пожалуйста! Вас также.
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Эта тема закрыта, Вы не можете редактировать и оставлять сообщения в ней.  Страница 1 из 1
  [ Сообщений: 6 ] 

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 23

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB