DES-3526
Firmware 5.01-B36
На клиентских портах включен адрес биндинг в acl моде с привязкой одной пары ip/mac к порту. Также включены трап логи.
Сегодня на шлюзе обнаружил вот это (
Код:
show arp | in 00d0.с713.5eea
Internet 10.10.224.217 0 00d0.с713.5eea ARPA Vlan2
Internet 10.10.224.220 0 00d0.с713.5eea ARPA Vlan2
Internet 10.10.224.222 0 00d0.с713.5eea ARPA Vlan2
Internet 10.10.224.223 0 00d0.с713.5eea ARPA Vlan2
Internet 10.10.224.212 0 00d0.с713.5eea ARPA Vlan2
Internet 10.10.224.213 0 00d0.с713.5eea ARPA Vlan2
Internet 10.10.224.202 6 00d0.с713.5eea ARPA Vlan2
Internet 10.10.224.207 0 00d0.с713.5eea ARPA Vlan2
Internet 10.10.224.192 0 00d0.с713.5eea ARPA Vlan2
Internet 10.10.224.195 0 00d0.с713.5eea ARPA Vlan2
Internet 10.10.224.196 0 00d0.с713.5eea ARPA Vlan2
Internet 10.10.224.248 0 00d0.с713.5eea ARPA Vlan2
Internet 10.10.224.250 0 00d0.с713.5eea ARPA Vlan2
Internet 10.10.224.251 0 00d0.с713.5eea ARPA Vlan2
Internet 10.10.224.254 0 00d0.с713.5eea ARPA Vlan2
Аксес листы были созданны последовательно командами:
Код:
Созданы пары ip/mac
config address_binding ip_mac ports 1-24 state enable
config filter netbios 1-24 state enable
config filter extensive_netbios 1-24 state enable
enable address_binding acl_mode
На длинке куда воткнут клиент в логах абсолютно ничего не написано. Мак на порту идет в динамике.
Для эксперимента выключил все фильтры и бинды чтобы в аксес профайлах стало чисто, а затем создал лишь бинды на один порт зараженного клиента.
Все-равно в логах ничего а клиент так и продолжал подмену ip, при этом когда была убрана пара ip/mac закрепленая за клиентом в логах появились сообщения что эта пара блокируется.
Вход
Регистрация
FAQ
Поиск
