1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Ср авг 13, 2025 21:11

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 2
  [ Сообщений: 22 ]  На страницу 1, 2  След.
  Предыдущая тема | Следующая тема 
Автор Сообщение
MsHOME
СообщениеДобавлено: Чт июл 29, 2010 15:49 
Не в сети

Зарегистрирован: Вт май 16, 2006 13:02
Сообщений: 867
Откуда: Ukraine
Есть 3526
Задача.
Разрешить абоненту на порту работать только с своего айпи адреса без контроля мак адресов ессно исключая FFFF и запретить присваивать себе мак шлюза.
Для этого юзаем ACL или IP-MAC Binding Permit IP Pool

Дальше, разрешить на порту только 1 мак адрес.
Для этого настраиваем Port Security

Дальше запретить возможность появления мак адреса шлюза на порту абонента, так как айпи адрес мы уже ограничили.
Для этого используем, что Static ARP Settings или ARP Spoofing Prevention ?
Что лучше ?
Вернуться наверх
 Профиль  
 
Bigarov Ruslan
 Заголовок сообщения:
СообщениеДобавлено: Чт июл 29, 2010 15:56 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
http://www.dlink.ru/ru/faq/62/252.html

_________________
С уважением,
Бигаров Руслан.
Вернуться наверх
 Профиль  
 
terrible
 Заголовок сообщения:
СообщениеДобавлено: Чт июл 29, 2010 19:15 
Не в сети

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default
Bigarov Ruslan писал(а):
http://www.dlink.ru/ru/faq/62/252.html

Гениально!

Спрашивали же:

Цитата:
Дальше запретить возможность появления мак адреса шлюза на порту абонента, так как айпи адрес мы уже ограничили.
Для этого используем, что Static ARP Settings или ARP Spoofing Prevention ?
Что лучше ?

Ни то, ни другое. Вы хотите запретить появление мака шлюза на абонентком порту - задайтие его статически на аплинке. Даже если он и появится - он не будет изучен, т.к. уже статически забит на аплинк.

ARP Spoofing Prevention работает следующим образом: при добавлении записи в неё - она создаёт 2 профиля, которые запрещают все пакеты, которые совпадают с:
1) IP адресом шлюза
2) с MAC-адресом шлюза

Т.е. если абонент себе установит либо ип либо мак шлюза - пакеты с него будут заблокированы.

Полезная фишка, её тоже используйте, однако это ACL, и работает по уже имеющейся коммутации, если добавите мак как я выше сказал - это будет сделано на более низком уровне.
Вернуться наверх
 Профиль  
 
MsHOME
 Заголовок сообщения:
СообщениеДобавлено: Пт июл 30, 2010 00:47 
Не в сети

Зарегистрирован: Вт май 16, 2006 13:02
Сообщений: 867
Откуда: Ukraine
То что хотел понять, спасибо за разжовнность.
Вернуться наверх
 Профиль  
 
MsHOME
 Заголовок сообщения:
СообщениеДобавлено: Пт июл 30, 2010 13:29 
Не в сети

Зарегистрирован: Вт май 16, 2006 13:02
Сообщений: 867
Откуда: Ukraine
На аплинке сделал, но смотрю в 35 серии на абонентских свитчах тоже можно прописать в статическую таблицу или в этом варианте лучше ARP Spoofing Prevention использовать ?
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения:
СообщениеДобавлено: Пт июл 30, 2010 13:44 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Вы имеете в виду статическую запись в FDB на аплинках коммутаторов доступа (речь идет о DES-3526) или уже имеете в виду именно клиентские порты?
Вернуться наверх
 Профиль  
 
MsHOME
 Заголовок сообщения:
СообщениеДобавлено: Вс авг 01, 2010 14:50 
Не в сети

Зарегистрирован: Вт май 16, 2006 13:02
Сообщений: 867
Откуда: Ukraine
НЕ я в агрегаторы прописал статические данные.
А вот доступ где конечные абоненты, как там лучше ?
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения:
СообщениеДобавлено: Пн авг 02, 2010 11:43 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
На uplink порту - статическая запись в FDB для мака шлюза (если у Вас конечно на доступе не кольцевая топология). На клиентских портах ARP Spoofing Prevention.
Вернуться наверх
 Профиль  
 
MsHOME
 Заголовок сообщения:
СообщениеДобавлено: Пн авг 02, 2010 12:37 
Не в сети

Зарегистрирован: Вт май 16, 2006 13:02
Сообщений: 867
Откуда: Ukraine
Типа так ?
Create fdb default 00:12:13:14:32:23 port 26
И так типа можно внести все устройства отвечающие за доступ к интернет.
Вернуться наверх
 Профиль  
 
Denis Evgraphov
 Заголовок сообщения:
СообщениеДобавлено: Пн авг 02, 2010 12:48 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Да, можно.
Вернуться наверх
 Профиль  
 
MsHOME
 Заголовок сообщения:
СообщениеДобавлено: Ср сен 15, 2010 23:06 
Не в сети

Зарегистрирован: Вт май 16, 2006 13:02
Сообщений: 867
Откуда: Ukraine
А скажите как на серии 3028 организовать такую схему ?

Порт клиента ограничен конкретным IP - делаем с помощью ACL двумя профилями.
Мак шлюза и остальных сервисов вносим в fdb.
Ограничиваем порт секюрити количество маков на порту.
Как теперь разрешить клиентским портам брать айпи свой с DHCP сервера? учитывая что сервер выдаст на этот порт только нужный айпи.

Создал профиль разрешающий 0.0.0.0 поместил выше остальных, и не получилось.
Код:
create access_profile ip source_ip_mask 0.0.0.0 profile_id 2
config access_profile profile_id 2 add access_id 1 ip source_ip 0.0.0.0 port 1-24 permit


Получаеться что два таких профиля у меня дублируються.

Первый разрешает 0.0.0.0.
Второй разрешает конкретный айпи
Третий запрещает 0.0.0.0

Хрень какаято получилась.
Вернуться наверх
 Профиль  
 
Alexandr Zaitsev
 Заголовок сообщения:
СообщениеДобавлено: Чт сен 16, 2010 12:36 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow
Цитата:
create access_profile ip source_ip_mask 0.0.0.0 profile_id 2
config access_profile profile_id 2 add access_id 1 ip source_ip 0.0.0.0 port 1-24 permit


Этот профиль разрешает вообще любые пакеты.
Попробуйте так:
Код:
create access_profile ip source_ip_mask 255.255.255.255 profile_id 2
config access_profile profile_id 2 add access_id 1 ip source_ip 0.0.0.0 port 1-24 permit
Вернуться наверх
 Профиль  
 
Bigarov Ruslan
 Заголовок сообщения:
СообщениеДобавлено: Чт сен 16, 2010 12:53 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
Нужно разрешать не IP адрес 0.0.0.0, а разрешать UDP dst 67 пакеты.

_________________
С уважением,
Бигаров Руслан.
Вернуться наверх
 Профиль  
 
MsHOME
 Заголовок сообщения:
СообщениеДобавлено: Чт сен 16, 2010 13:35 
Не в сети

Зарегистрирован: Вт май 16, 2006 13:02
Сообщений: 867
Откуда: Ukraine
Кому верить :) ?
Вернуться наверх
 Профиль  
 
Bigarov Ruslan
 Заголовок сообщения:
СообщениеДобавлено: Чт сен 16, 2010 13:55 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
Не любые пакеты, с с src_ip 0.0.0.0, но не все DHCP Client-ы делают запрос от IP адреса 0.0.0.0, поэтому лучше воспользоваться моим вариантом.

_________________
С уважением,
Бигаров Руслан.
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 2
  [ Сообщений: 22 ]  На страницу 1, 2  След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 10

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB