URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 1942
[ Назад ]

Исходное сообщение
"блокировка фейкового dhcp-сервера"

Отправлено AlexFomin , 19-Мрт-16 16:12 
имеется коммутатор cisco sg200
задача сделать невозможным появление в сети "левого" dhcp-сервера и по-возможности детектить arp-спуфинг
dhcp snooping в свитче не обнаружен
какие еще есть варианты? vlan?

Содержание

Сообщения в этом обсуждении
"блокировка фейкового dhcp-сервера"
Отправлено stalker37 , 19-Мрт-16 23:47 
> имеется коммутатор cisco sg200
> задача сделать невозможным появление в сети "левого" dhcp-сервера и по-возможности детектить
> arp-спуфинг
> dhcp snooping в свитче не обнаружен
> какие еще есть варианты? vlan?

acl фильтровать ответы с 67 порта udp на клиентских портах


"блокировка фейкового dhcp-сервера"
Отправлено loskiq , 24-Мрт-16 20:01 
>> имеется коммутатор cisco sg200
>> задача сделать невозможным появление в сети "левого" dhcp-сервера и по-возможности детектить
>> arp-спуфинг
>> dhcp snooping в свитче не обнаружен
>> какие еще есть варианты? vlan?
> acl фильтровать ответы с 67 порта udp на клиентских портах

А после?


"блокировка фейкового dhcp-сервера"
Отправлено stalker37 , 24-Мрт-16 20:38 
>>> имеется коммутатор cisco sg200
>>> задача сделать невозможным появление в сети "левого" dhcp-сервера и по-возможности детектить
>>> arp-спуфинг
>>> dhcp snooping в свитче не обнаружен
>>> какие еще есть варианты? vlan?
>> acl фильтровать ответы с 67 порта udp на клиентских портах
> А после?

А что после? Даже если на той стороне ответит фейковый сервер - то согласно ацл эти ответы будут заблокированы


"блокировка фейкового dhcp-сервера"
Отправлено Иван Маскаев , 13-Апр-16 20:01 
>> имеется коммутатор cisco sg200
>> задача сделать невозможным появление в сети "левого" dhcp-сервера и по-возможности детектить
>> arp-спуфинг
>> dhcp snooping в свитче не обнаружен
>> какие еще есть варианты? vlan?
> acl фильтровать ответы с 67 порта udp на клиентских портах

в SG200 нет acl, насколько помню там есть только возможность писать acl для доступа к панели управления самого коммутатора. Это же тупо дорогой умный гигабитный свитч с POE для SOHO