|
ru.nethack
- RU.NETHACK -------------------------------------------------------------------
From : Olli Artemjev 2:5020/1354 26 Oct 2001 23:43:24
To : Vlad
Subject : IP-Clients
--------------------------------------------------------------------------------
Hi, Vlad !
On 26 Oct 2001 at 09:24, "V", Vlad wrote:
>> Скажи ка, а у тебя есть на примете свитчик, который arp таблицу свою
>> завязывает на switching table? У меня вот нет. cisco2924XL например
V> не совсем понял, зачем свитчу арп-таблица, он же на уровне ниже
V> работает ;)
затем, что будь у него arp таблица завязана со switching table не нужно
было бы в некоторых случаях маршрутизатор покупать.
V> я имел ввиду, что свитчик один раз (и надолго) обучают, что
V> на этом порту вот такой-то мак и ничего другого быть не может. в
V> крайнем случае, группа маков (тогда возможна подмена внутри
V> группы). это на уровне LLC.
Вот-вот, то есть внутри группы уже облом с зажиманием правил.
А в случае, когда ты имеешь блок M адресов из которых не занято N,
ты без роутера имеешь потенциальную возможность их юзать, пусть и с
появлением warning'а в arpwatch. А надо так, чтобы физически нельзя было
воровать, чтобы не тратить время на административные меры типа прийти и
поскандалить и выставить счет за убытки - это геморой.
V> а arpwatch это уже повыше, на специально
V> обученной машинке ;) отвечая на твой вопрос: нет, конкретных моделей
V> свитчей с отключаемым обучением я тебе не перечислю, но неоднократно
V> слышал, что такие есть.
Дело не в обучаемости где какой MAC, а загрузке статической arp таблицы на
устройство доступа. То есть загрузить то ее можно на свитч, но транзитный
трафик оно не тронет. Как следствие толку от нее с точки зрения ограничения
хулиганства по ip - ноль.
>> arpwattch на этом маке - в логах тишина. Единственный, очень частно
>> неприемлемый, метод - 1 user per port - тогда ты по любому получишь
>> snmp trap при некорректных действиях. Hеприемлем он по деньгам -
>> большинству народа просто слишком дорого будет расходовать порт свитча
>> всего на 1го клиента.
V> Hу, почему неприемлемый? Ситуации разные бывают, меня вот попросили
V> посчитать, сколько это стоит после прецедента со спуфингом...
Hе так уж и дорого, если использовать не слишком интелектуальное
оборудование - по московским ценам - порядка $600-650 за достаточно
интеллектуальный почти brand (intel 460Т модели весьма не плохи и явно
дешевле кошек, хотя конечно тупее, но особого интеллекта тут не требуется
для статической привязки MAC/PORT). Думаю можно найти и подешевле решения.
Тебе хорошо - у тебя банк, который может раскошелиться на 1port/1user. А
мне вот на ISP выгоднее купить вместо этого маршрутизатор. А вот если бы
была привязка статической arp к switching table - на период первоначального
развития провайдера мне бы этот маршрутизатор не встал в затраты
первостепенной важности.
--
Bye.Olli. mailto(remove "NOSPAM"): olli@digger.NOSPAMorg.ru
*: Кука с маслом.
--- Gnus/5.0803 (Gnus v5.8.3) XEmacs/21.1 (Bryce Canyon)
* Origin: Sunrise. (2:5020/1354.0)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
IP-Clients |
Olli Artemjev |
26 Oct 2001 23:43:24 |
|
|
