Всем доброго времени суток.

Задача стоит следующая - защититься от ARP spoofing с помощью PCF ACL.

На свитчах есть привязка IP_абонента-порт. В итоге нужно разрешить в ARP-reply на каждом порту только свой привязанный IP, всё остальное запрещаем.


Для 3526 правила должны быть такими?
Имеет ли значение очередность этих двух профилей по отношению к уже имеющимся (в начале, в конце)?

А почему не используете IMPB?

Потому что не хотим ограничивать пользователя на использование разных девайсов дома. А также не хотим нагружать ТП постоянными звонками с просьбой прописать мак нового устройства, появившегося у абонента.

я ужe дaвно прошу длинк убрaть eтот кaл с привязкой мaкa. Ip source guard нужeн с контролeм arp ip.

ISG и IMPB совершенно разные по природе функционирования

Ну прям таки небо и земля.

Хотелось бы всё таки увидеть ответ от представителей Длинка

Ну что то подобное у длинка было ip pool permit.
Могли бы доделать? да ещё чтобы само писало такое правило для arp при создании правлила для ip.
Вот тогда я бы ваще молился на длинк прогеров.

Ну так всё таки: как разрешить в ARP-reply на каждом порту только свой привязанный IP, всё остальное запретить?.

Switch 3526
Boot PROM Version : Build 5.00.009
Firmware Version : Build 6.00.B36

Так была же в фаге помоему тема.

Провел тесты.

Имеется:
свитч 3526 Firmware Version : Build 6.00.B36 IP 10.90.90.90
ноутбук HP IP 10.0.0.2 (1 порт 3526)
ноутбку ASUS IP 10.0.0.3 (2 порт 3526)
мой ПК, сетевуха INTEL IP 10.0.0.1 (7 порт 3526) - является шлюзом для 0.2 и 0.3

Тест 1 - свитч вообще не трогаем, никаких правил нет
На ноуте HP 10.0.0.2 меняю на 10.0.0.1 (адрес шлюза)
На ноуте АСУС 10.0.0.3 слушаю пакеты wireshark'ом:

При этом на 3526 наблюдаем вот такую картину:



т.е. одинаковый мак 0.1 и 0.2
Через секунд 15 всё возвращается к нормальному виду:



Но это тоже ненадолго...
При сетевой активности "атакующего" ноута НР, в арп-таблице будут неверные записи.
0.3 также получает арп-ответы с подложными данными...

Тест 2 - на свитч залиты следующие правила:


Указаны лишь проток АРП 0х806 и IP ноутбуков 0xA000002 - 10.0.0.2 и 0xA000003 - 10.0.0.3
Меняю снова IP 0.2 на 0.1 и смотрю на пакеты на 0.3:


При этом на свитче в арп-таблице ситуация аналогична предыдущему примеру, но как видно на картинке, дальше порта, в который подключен ноут НР данный арп-ответ не уходит. И получается, что клиенты (в данном случае 10.0.0.3) ничего не заметит и продолжит нормально работать.
Получается так? Или я где-то что-то напутал?

Абсолютно верно написаны правила. Мы тоже используем такие же очень давно. Работает железно.

У сеня вопрос правило для IP протокола по контролю портов должно быть ниже в списке правил а arp выше ?
Или нет разницы ?
И ещё вот я себе тестовое правило для 3028 сделал но cli не принимает его



Что не так ?

В связи с нехваткой профилей на 3526 (более 9 не дает создать), возникла необходимость объединить имеющийся профиль для блокировки портов (135, 137 и т.п.) и профилей для блокировки arp spoofing,

Вот команды для создания профилей и пример правил в них:

блокировка портов (в частности 135 TCP)

разрешающие правила для ARP

запрещающий профиль для ARP

Возможно ли их объединить? Если не в 1, то хотя бы в 2 профиля (блокирующий отдельно оставлю).

Что пробовал:

создавал профиль вот так:

В правилах, которые заливал и в которых не учитывается какая-либо маска, заменил её и на 0х0,и на 0хFFFFFFFF, но это не помогло...

Никто не может подсказать возможно ли это реализовать?