1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Пн июл 21, 2025 10:47

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 2 из 2
  [ Сообщений: 23 ]  На страницу Пред.  1, 2
  Предыдущая тема | Следующая тема 
Автор Сообщение
Ivantey
 Заголовок сообщения:
СообщениеДобавлено: Пн окт 05, 2009 16:29 
Не в сети

Зарегистрирован: Пт окт 24, 2003 00:47
Сообщений: 508
Откуда: Moscow
Я об этом и писал 3 сообщениями выше

_________________
D-Link User: DGS-3120-24, DGS-3324SR, DGS-3627G, DGS-3612G, DGS-3312SR, DGS-3100-24TG, DGS-3200-10, DES-3200-26, DES-3200-28, DES-3200-18, DES-3528, DES-3526, DES-3028, DES-1228, DES-2108, DES-2110, DES-3326SR, DMC-920, DMC-810.
Вернуться наверх
 Профиль  
 
Bigarov Ruslan
 Заголовок сообщения:
СообщениеДобавлено: Пн окт 05, 2009 17:10 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
Если Вы про секунды, то это неправильно. Среднее время выдачи IP адреса у ISP равно 24 часам, так что всё нормально.

_________________
С уважением,
Бигаров Руслан.
Вернуться наверх
 Профиль  
 
Negator1983
 Заголовок сообщения:
СообщениеДобавлено: Пн окт 05, 2009 19:44 
Не в сети

Зарегистрирован: Чт фев 08, 2007 15:35
Сообщений: 274
rw9uaq писал(а):
После ночи размышлений прихожу к другому варианту, взамен связок MAC-IP:

1. Включить DHCP RELAY, релеить запросы в управляющую сеть с option 82
2. Включить DHCP LOCAL RELAY (у меня цепочки коммутаторов, броадкасты лишние подавить)
3. В IP-MAC Binding Table все удалить
4. В IP-MAC Binding Port все поотключать
5. Создать два ACL профиля, один разрешающий, за ним запрещающий
6. В запрещающем запретить на всех портах любые IP
7. В разрешающий наваливать разрешенные на каждый порт IP адреса (прямо из биллинга, скриптом)
8. Не забыть еще создать правило, разрешающее DHCP пакеты от адреса 0.0.0.0 (или подсмотреть правила, которые DHCP snooping создает, наклепать такие же руками)
9. В Port Security разрешить учить по 3-4 MAC адреса

Вроде все. Коммутатор отдыхает, его проц свободен, для клиента ничего настраивать не надо, рулить ACL могу из биллинга (ну чуток поднапрягшись на скрипты), проблем с DHCP уже не будет. Проблему вижу только одну - ARP. Например, клиент может поставить вручную адрес шлюза себе. Но ведь проблема эта и в случае dhcp snooping актуальна. Как тут правильно бороться? Ну ладно, шлюз я занесу в ARP Spoofing Prevention, а друг от друга как клиентов защитить?

Покритикуйте, а то щас пойду скрипт клепать для биллинга. Может я чего упустил из виду.


Делаю сейчас ровно то же самое, вылезла та же проблема.
Если несложно поделись решением коли решишь? Имеется ввиду ARP.
Вернуться наверх
 Профиль  
 
Demin Ivan
 Заголовок сообщения:
СообщениеДобавлено: Пн окт 05, 2009 23:49 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Можно поподробнее что у Вас конкретно не получилось?
Вернуться наверх
 Профиль  
 
duzer12
 Заголовок сообщения:
СообщениеДобавлено: Вт окт 06, 2009 05:49 
Не в сети

Зарегистрирован: Чт июн 25, 2009 09:10
Сообщений: 20
По ARP: в свое время натерпелись от вируса, подменяющего arp записи у абонентов в подсети, поэтому ввели еще 2 профиля.
Код:
 create access_profile packet_content_mask offset_0-15 0x0 0x0 0x0 0x0 offset_16-31 0xFFFFFFF 0x0  0x0 0x0  offset_32-47  0xffffffff 0x0 0x0 0x0  profile_id 4

В данном профиле вставляются разрешающие ACL правила для IP адреса пользователя, к примеру:
Код:
config access_profile profile_id 4 add access_id 1 packet_content_mask offset_0-15  0x0  0x0  0x0  0x0 offset_16-31  0x8060001  0x0  0x0  0x0 offset_32-47  0xAC10E282  0x0  0x0  0x0 port 1 permit

AC10E28 - IP адрес абонента
Следующим профилем
Код:
create access_profile packet_content_mask offset_0-15 0x0 0x0 0x0 0x0 offset_16-31 0xFFFFFFF 0x0 0x00000000 0x0 profile_id 5

и правилами
Код:
config access_profile profile_id 5 add access_id auto_assign packet_content_mask offset_0-15 0x0 0x0 0x0 0x0 offset_16-31 0x08060001 0x0 0x0 0x0 port 1-24 deny

Запрещаем все ARP.
Вернуться наверх
 Профиль  
 
Negator1983
 Заголовок сообщения:
СообщениеДобавлено: Вт янв 26, 2010 19:13 
Не в сети

Зарегистрирован: Чт фев 08, 2007 15:35
Сообщений: 274
подниму тему. Актуально
Сделано все по схеме:

1. Включить DHCP RELAY, релеить запросы в управляющую сеть с option 82
2. Включить DHCP LOCAL RELAY (у меня цепочки коммутаторов, броадкасты лишние подавить)
3. В IP-MAC Binding Table все удалить
4. В IP-MAC Binding Port все поотключать
5. Создать два ACL профиля, один разрешающий, за ним запрещающий
6. В запрещающем запретить на всех портах любые IP
7. В разрешающий наваливать разрешенные на каждый порт IP адреса

Все прекрасно работает -несколько тысяч абонентов плавно перевели на dhcp - проблем нет.

Но столкнулся вот с этим:
Цитата:
Проблему вижу только одну - ARP. Например, клиент может поставить вручную адрес шлюза себе. Но ведь проблема эта и в случае dhcp snooping актуальна. Как тут правильно бороться? Ну ладно, шлюз я занесу в ARP Spoofing Prevention, а друг от друга как клиентов защитить?


Что то не могу вкурить правила сообщением выше.
По идее нужно
1-Создать профиль для разрешенных IP
2-Вторым профилем блокировать все ARP

если несложно переведите на нормальный язык сообщение выше от duzer12

AC10E28 - IP адрес абонента - это как?
Вернуться наверх
 Профиль  
 
Chupaka
 Заголовок сообщения:
СообщениеДобавлено: Ср янв 27, 2010 00:05 
Не в сети

Зарегистрирован: Вт июн 17, 2008 18:59
Сообщений: 1203
Откуда: Минск, Беларусь
Negator1983 писал(а):
AC10E28 - IP адрес абонента - это как?

смею предположить, что это шестнадцатиричная нотация:

0A.C1.0E.28 = 10.193.14.40

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.
Вернуться наверх
 Профиль  
 
Bigarov Ruslan
 Заголовок сообщения:
СообщениеДобавлено: Чт янв 28, 2010 18:07 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
Ничего предполагать не нужно, нужно почитать FAQ:
http://www.dlink.ru/ru/faq/62/252.html

_________________
С уважением,
Бигаров Руслан.
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 2 из 2
  [ Сообщений: 23 ]  На страницу Пред.  1, 2

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 28

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB