1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Вс июл 27, 2025 13:39

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 9 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
Ilya Evseev
СообщениеДобавлено: Вт июл 01, 2008 13:03 
Не в сети

Зарегистрирован: Ср дек 29, 2004 13:18
Сообщений: 115
Откуда: Saint-Petersburg
Есть L3-коммутатор 3627G.
Хочу настроить на нем аналог arpwatch,
то есть оперативно получать уведомления об изменениях связок MAC-IP.
Настраиваю:
enable snmp traps
create snmp host 1.2.3.4 v1 MySecretCommunityName

На 1.2.3.4 запускаю "tcpdump port 162" - и тишина.

При этом коммутатор нормально отдаёт статистику через обычные SNMP-запросы,
а также отсылает на сервер syslog.

Вопрос: как настроить?
В FAQ нашел только MAC-Port для L2:
http://www.dlink.ru/technical/faq_hub_switch_48.php
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Вт июл 01, 2008 18:38 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Подождите Вы хотите trap на срабатывание IP-MAC-Port Binding или просто на изменение ARP таблицы?
Вернуться наверх
 Профиль  
 
Ilya Evseev
 Заголовок сообщения:
СообщениеДобавлено: Вт июл 01, 2008 21:00 
Не в сети

Зарегистрирован: Ср дек 29, 2004 13:18
Сообщений: 115
Откуда: Saint-Petersburg
Demin Ivan писал(а):
Подождите Вы хотите trap на срабатывание
IP-MAC-Port Binding или просто на изменение ARP таблицы?

Мне нужен трап на изменение ARP-таблицы на коммутаторе 3 уровня.

Хотя если можно получать от L2 трапы при срабатывании IP-MAC-Port-Binding,
то это бы тоже пригодилось.
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Вт июл 01, 2008 23:16 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Trap-ов на изменение ARP таблицы нет. Вы имеете ввиду получать trap-ы от устройств уровня доступа?
Вернуться наверх
 Профиль  
 
Ilya Evseev
 Заголовок сообщения:
СообщениеДобавлено: Ср июл 02, 2008 13:53 
Не в сети

Зарегистрирован: Ср дек 29, 2004 13:18
Сообщений: 115
Откуда: Saint-Petersburg
Demin Ivan писал(а):
Trap-ов на изменение ARP таблицы нет.
Вы имеете ввиду получать trap-ы от устройств уровня доступа?

Да.
Есть DGS-3627G, в него VLAN'ами прокинуты все домовые сегменты.
Он отвечает за внутрисетевую маршрутизацию.
У всех пользователей он указан в качестве шлюза по умолчанию.

Сейчас ARP-таблицы с него снимаются либо через Telnet, либо по SNMP,
но при этом остаётся риск, что подмена произойдёт на короткое время
в интервале между проверками и останется незамеченной.

Кроме того, проверки работают ненадёжно - telnet может повиснуть,
snmp часто пропускает записи, оба грузят процессор и т.д.

Поэтому хочется что-то типа mac_notification по SNMP,
только не для Mac-Port, а для MAC-IP.
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Ср июл 02, 2008 21:53 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
При занесении адреса в блок лист событие пишется в syslog. Кстати syslog не подойдёт?
Вернуться наверх
 Профиль  
 
Ilya Evseev
 Заголовок сообщения:
СообщениеДобавлено: Сб июл 12, 2008 07:46 
Не в сети

Зарегистрирован: Ср дек 29, 2004 13:18
Сообщений: 115
Откуда: Saint-Petersburg
Demin Ivan писал(а):
При занесении адреса в блок лист событие пишется в syslog. Кстати syslog не подойдёт?

Имеется в виду ip-mac-port binding на L2?
Подойдёт, но этого недостаточно,
потому что у нас не все L2 умеют ip-mac-port-binding (например, 3226S и 2108),
и не для всех клиентов имеются данные, чтобы включить им ip-mac-port binding.

Поэтому в дополнение обязательно требуется отслеживать все изменения ARP-таблиц на L3 так, как это делает arpwatch.
Без этого невозможно (а) определить MAC-адреса новых клиентов (по умолчанию для клиентов известен только IP),
и (б) защититься от подмены IP-адресов клиентами, подключенными к тупым L2.
Но без создания static arpentry, т.к. клиентов много и на всех статических ARP-привязок не хватит.

Вопрос: как это сделать?
Вернуться наверх
 Профиль  
 
svsh1990
 Заголовок сообщения:
СообщениеДобавлено: Сб июл 12, 2008 09:17 
Не в сети

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль
Постоянно считывать ARP-таблицу - больше никак я думаю.

_________________
LiveComm
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Вс июл 13, 2008 12:37 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Именно так. И сравнивать с предыдущей как вариант.
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 9 ] 

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 37

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB