D-Link • Просмотр темы - Проблема с DES-3200-XX

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Проблема с DES-3200-XX

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 2 из 2

[ Сообщений: 25 ]

На страницу Пред. 1, 2

Предыдущая тема | Следующая тема

Автор

Сообщение

lumen

Заголовок сообщения: Re: Проблема с DES-3200-XX

Добавлено: Ср ноя 09, 2011 07:47

Зарегистрирован: Ср дек 24, 2008 13:07
Сообщений: 137
Откуда: Жигулёвск

SuiSide писал(а):

Или я как-то неправильно понял работу arp spoofing prevention?

Arp-spoofing prevention запрещает связку ip+mac шлюза (то есть ип и мак, которые указаны в arp_spoofing_prevention) на тех портах которые указаны в arp_spoofing_prevention. Соответственно если появиться только мак шлюза, то коммутатор его пропустить дальше. Так что с arp spoofing prevention еще необходимо использовать acl который блокирует мак адрес шлюза на абонентских портах и acl должен быть первым, так как обработка по правилам идет до первого совпадения.
Мы как тоже наступили на эти же грабли

Вернуться наверх

Denis Evgraphov

Заголовок сообщения: Re: Проблема с DES-3200-XX

Добавлено: Ср ноя 09, 2011 09:36

Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan

ARP Spoofing Prevention предотвратит возможность клиенту использовать IP шлюза, от подмены MAC-адреса данный функционал не защищает.

Вернуться наверх

Ipsum(C)

Заголовок сообщения: Re: Проблема с DES-3200-XX

Добавлено: Ср фев 22, 2012 22:41

Зарегистрирован: Пт июл 23, 2010 13:40
Сообщений: 133

lumen писал(а):

SuiSide писал(а):

Или я как-то неправильно понял работу arp spoofing prevention?

И нафига этот ACL нужен? Проще статически MAC-адрес шлюза добавить на Uplink'овские порты или использовать auto_fdb с IP-адресом шлюза.

Вернуться наверх

Siny

Заголовок сообщения: Re: Проблема с DES-3200-XX

Добавлено: Ср фев 22, 2012 23:16

Зарегистрирован: Чт янв 25, 2007 11:34
Сообщений: 135

SuiSide писал(а):

Я так понял мой выбор - это все же ACL, потому как ARP Spoofing не работает адекватно. Только сегодня утром наблюдалась та же картина - по одному из вланов заблокировался мак адрес шлюза на абонентском порту, при том что арп спуфинг был включен:

так это и был злодей спуфер, дальше уже либо организационно, либо пусть себя блочит )

Вернуться наверх

hsvt

Заголовок сообщения: Re: Проблема с DES-3200-XX

Добавлено: Чт июл 26, 2012 17:54

Зарегистрирован: Вт июл 27, 2010 21:04
Сообщений: 188

Вопрос о работе механизма ARP Spoofing Prevention.
Есть коммутатор DES-3200-26
Boot PROM Version : Build 1.00.B004
Firmware Version : Build 1.70.B007

Вот арп таблица:
DES-3200-26:5#show arpentry
Command: show arpentry

ARP Aging Time : 20

Interface IP Address MAC Address Type
------------- --------------- ----------------- ---------------
System 10.10.10.0 FF-FF-FF-FF-FF-FF Local/Broadcast
System 10.10.10.1 F0-7D-68-35-18-30 Local
System 10.10.10.254 00-29-CB-D1-03-62 Dynamic
System 10.10.10.255 FF-FF-FF-FF-FF-FF Local/Broadcast

Total Entries : 4

uplink 26 порт(F)

Для того чтобы работал ARP Spoofing Prevention мне нужно прописать следущее:
config arp_spoofing_prevention add gateway_ip 10.10.10.254 gateway_mac 00-29-CB-D1-03-62 ports 1-24

Где 1-24 клиенты, в 25 может быть другое оборудование. Я правильно понимаю что этой командой я запрещаю использование IP шлюза 10.10.10.254 с мак адресом 00-29-CB-D1-03-62 на портах с 1 по 24 ? и если кто то захочет присвоить себе этот ип с маком - что сделает коммутатор и будет ли запись в логе? IMPB с PS не используется.

Вернуться наверх

Denis Evgraphov

Заголовок сообщения: Re: Проблема с DES-3200-XX

Добавлено: Пт июл 27, 2012 15:00

Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan

ARP Spoofing Prevention защищает по сути от подмены IP-адреса, функционал прописывается на клиентских портах.

Вернуться наверх

Ivantey

Заголовок сообщения: Re: Проблема с DES-3200-XX

Добавлено: Вс июл 29, 2012 20:24

Зарегистрирован: Пт окт 24, 2003 00:47
Сообщений: 508
Откуда: Moscow

А зачем тогда в синтаксисе указывается мак адрес?

_________________
D-Link User: DGS-3120-24, DGS-3324SR, DGS-3627G, DGS-3612G, DGS-3312SR, DGS-3100-24TG, DGS-3200-10, DES-3200-26, DES-3200-28, DES-3200-18, DES-3528, DES-3526, DES-3028, DES-1228, DES-2108, DES-2110, DES-3326SR, DMC-920, DMC-810.

Вернуться наверх

Denis Evgraphov

Заголовок сообщения: Re: Проблема с DES-3200-XX

Добавлено: Пн июл 30, 2012 15:20

Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan

Чтобы указать, что для данного IP-адреса у устройства должен быть указанный MAC-адрес.
Устройства с таким же IP, но другим MAC-адресом будут блокироваться.

Вернуться наверх

peektoseen

Заголовок сообщения: Re: Проблема с DES-3200-XX

Добавлено: Вт июл 31, 2012 09:28

Зарегистрирован: Вс янв 11, 2009 20:22
Сообщений: 144
Откуда: Смоленск

Denis Evgraphov писал(а):

А с такими-же IP и MAC адресами не будут блокироваться?

Вернуться наверх

Denis Evgraphov

Заголовок сообщения: Re: Проблема с DES-3200-XX

Добавлено: Вт июл 31, 2012 09:38

Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan

Нет

Вернуться наверх

Страница 2 из 2

[ Сообщений: 25 ]

На страницу Пред. 1, 2

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 22

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения