D-Link • Просмотр темы - Вопрос по CPU interface filtering на домовых свитчах

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Вопрос по CPU interface filtering на домовых свитчах

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 2

[ Сообщений: 21 ]

На страницу 1, 2 След.

Предыдущая тема | Следующая тема

Автор

Сообщение

Valeriy-kww

Заголовок сообщения: Вопрос по CPU interface filtering на домовых свитчах

Добавлено: Пт фев 19, 2010 11:21

Зарегистрирован: Чт дек 18, 2008 09:10
Сообщений: 117
Откуда: Украина

Назрел вопрос.
Какие основные правила CPU interface filtering используются на клиентских свитчах серий DES-3028 , 3200, 3526 ???
Насколько я понимаю, необходимо :
1 - запретить доступ к MAC адресу коммутатора с клиентских портов (тут возникает вопрос - как будет работать протокол ARP ? он ведь процессором обрабатывается ?)
2 - разрешить доступ для управления из управляющего сегмента
3 - запретить доступ со всех остальных IP.

Задача предотвратить ARP spufing коммутатора клиентского сегмента сети.

_________________
В интернете три беды: дураки, вирусы и спам.

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения: Re: Вопрос по CPU interface filtering на домовых свитчах

Добавлено: Пт фев 19, 2010 12:47

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

Trusted Host/Subnet.

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

WinsDark

Заголовок сообщения: Re: Вопрос по CPU interface filtering на домовых свитчах

Добавлено: Пт фев 19, 2010 12:49

Зарегистрирован: Вс дек 23, 2007 17:52
Сообщений: 49
Откуда: Saint-Petersburg

Valeriy-kww писал(а):

По моему всё много проще вынести управление в отдельный влан, настроить trusted host, и на 3-м уровне закрыть доступ к свитчу.

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения: Re: Вопрос по CPU interface filtering на домовых свитчах

Добавлено: Пт фев 19, 2010 12:57

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

Не к коммутатору, а в управляющую подсеть.

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

WinsDark

Заголовок сообщения: Re: Вопрос по CPU interface filtering на домовых свитчах

Добавлено: Пт фев 19, 2010 13:28

Зарегистрирован: Вс дек 23, 2007 17:52
Сообщений: 49
Откуда: Saint-Petersburg

Bigarov Ruslan писал(а):

Не к коммутатору, а в управляющую подсеть.

да, конечно это и имел ввиду )

Вернуться наверх

Valeriy-kww

Заголовок сообщения:

Добавлено: Пт фев 19, 2010 14:47

Зарегистрирован: Чт дек 18, 2008 09:10
Сообщений: 117
Откуда: Украина

Ситуация когда от клиента прилетает mac адрес тот-же что и у коммутатора ?

_________________
В интернете три беды: дураки, вирусы и спам.

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Пт фев 19, 2010 14:53

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

ARP Spoofing Prevention.

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

WinsDark

Заголовок сообщения:

Добавлено: Пт фев 19, 2010 15:08

Зарегистрирован: Вс дек 23, 2007 17:52
Сообщений: 49
Откуда: Saint-Petersburg

Valeriy-kww писал(а):

Ситуация когда от клиента прилетает mac адрес тот-же что и у коммутатора ?

какая разница какой мак у клиента если у вас управление и клиент находяться в разных вланах?

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Пт фев 19, 2010 15:19

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

Это для L2 коммутаторов неважно. Но для L3 критично, нужно защищать интерфейсы, которые являются шлюзами.

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

Valeriy-kww

Заголовок сообщения:

Добавлено: Пт фев 19, 2010 15:24

Зарегистрирован: Чт дек 18, 2008 09:10
Сообщений: 117
Откуда: Украина

Спасибо за ответ ...
Не подскажете как защитить интерфейсы применительно к DGS-3627 ?

_________________
В интернете три беды: дураки, вирусы и спам.

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Пт фев 19, 2010 15:40

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

Смотря от чего.

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

Valeriy-kww

Заголовок сообщения:

Добавлено: Пт фев 19, 2010 17:19

Зарегистрирован: Чт дек 18, 2008 09:10
Сообщений: 117
Откуда: Украина

Подмены IP и MAC адреса шлюза ..
Хотя это надумано, у меня это на доступе режется ..
Благодарю .. Думаю тему можно закрывать .

_________________
В интернете три беды: дураки, вирусы и спам.

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Пт фев 19, 2010 17:34

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

Вы правы, это делается на коммутаторах уровня доступа.

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

Chupaka

Заголовок сообщения:

Добавлено: Пт фев 19, 2010 19:40

Зарегистрирован: Вт июн 17, 2008 18:59
Сообщений: 1203
Откуда: Минск, Беларусь

Bigarov Ruslan писал(а):

ARP Spoofing Prevention.

расскажите, где в 3028 найти и на какой прошивке... пасиба

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.

Вернуться наверх

terrible

Заголовок сообщения:

Добавлено: Пт фев 19, 2010 20:07

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default

в любой прошивке, в настройках

Вернуться наверх

Страница 1 из 2

[ Сообщений: 21 ]

На страницу 1, 2 След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 20

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения