Доброго времени суток.
Имеем сеть.
Три станции головные. На каждой станции стек из 3-ех 3627G.
Между собой станции соединены оптикой.
К станции включены кольца, некоторые из них ERPS, некоторые STP. Возможно избавится от колец нет. Коммутаторы 3526, 3200-28,3028.
Сейчас клиенты работают по протоколу PPPoE. Сейчас планируется переходить на DHCP.
В связи с чем есть очень много вопросов, раньше все было закрыто ACl`ами, клиенты не могли залесть куда не надо.
Сейчас же есть угроза множетсва атак.
Код:
Функция коммутатора От каких атак защищает
Port security Переполнение таблицы коммутации, несанкционированная смена MAC-адреса
DHCP Snooping Подмена DHCP-сервера в сети, DHCP starvation
Dynamic ARP Inspection ARP-spoofing
IP Source Guard IP-spoofing
Но тут же начинают появляться вопросы за вопросом.
1) Port security и DHCP snooping одновременно не работают.
2) При включении DHCP snooping
Код:
enable address_binding dhcp_snoop
enable address_binding trap_log
enable address_binding arp_inspection
config address_binding ip_mac ports 1-23 state enable strict allow_zeroip enable forward_dhcppkt enable
config address_binding dhcp_snoop max_entry ports 1-23 limit 1
Порт блокируется если количество маков растет. Но почему то функция срабатывает неверно, и другие клиентские порты также перестают правильно функционировать.
3) Как правильно настроить ARP-spoofing
4) Как бороться с диблированием мака в сети? Например DHCP сервера?
Огромное спасибо за любые советы и предложения! Вопросы очень обьемные, знаний мало, помогите пожалуйста.
Вход
Регистрация
FAQ
Поиск
