Назад | Перейти на главную страницу

Предотвращение сообщений ответа ARP для IP-адреса с неавторизованного порта / Mac

У меня есть несколько серверов, работающих на коммутаторах Dell, которые клиенты используют в своих проектах. Иногда некоторые клиенты помещают другие IP-адреса клиентов на свой сервер (предположительно случайно), и хотя я могу запретить им использовать эти IP-адреса с помощью правил ACL, я не могу запретить им отвечать на сообщения ARP с украденным IP-адресом, что затрудняет доступность сервера. первоначального владельца IP. Все порты коммутатора находятся в одной VLAN, и я не могу разделить порты на разные VLAN по причинам маршрутизации и ограничения IP.

Мне было интересно, каковы возможные способы предотвращения неавторизованных портов / Mac от ответа на сообщения «ARP, у кого есть» с чужим IP.

РЕДАКТИРОВАТЬ:

В основном я использую коммутаторы Dell S4810. Я, конечно, попытался найти руководство по решению моей проблемы, однако лучшее, что я смог найти, - это «динамическая проверка arp», которая использует базу данных DHCP для проверки IP-адресов на MAC-адреса. Мои клиенты часто используют большие части внешних IP-адресов на виртуальных машинах, поэтому привязать их напрямую к одному MAC-адресу немного сложно. Проблема усугубляется их способностью перемещать IP-адреса с одного сервера на другой через другой порт коммутатора.

Я реализовал тяжелую регистрацию предупреждений и ловушек по протоколу SNMP. Теперь я склоняюсь к сложному скриптовому решению, которое будет проверять собранные журналы адресов «IP-MAC» и сравнивать их с MAC-адресами серверов / виртуальных машин, принадлежащих клиенту, на предмет каких-либо нарушений и на основе какого-то расчета определять, крадет ли кто-то чужой IP-адрес и просто отключите порт источника вредоносной активности.

Общая идея этого поста заключалась в том, чтобы собрать идеи других решений. Цените все вклады.

Многие коммутаторы имеют механизмы защиты ARP / проверки ARP / защиты источника IP, которые могут быть включены для контроля всего трафика ARP, проходящего через коммутатор, и принудительного связывания MAC-IP. Они могут узнать соответствующие привязки динамически из DHCP (отслеживание), или вы можете статически установить их, что, вероятно, вам здесь нужно.

Однако я не уверен в наличии этой функции в продуктах Dell. Я схватил руководство по PowerConnect 5448 (правда, сейчас довольно старое) и не нашел упоминания о нем ...

Смогут ли коммутаторы Dell добавлять статические записи ARP для всех серверов? Вы не опубликовали модели или версию ОС, поэтому я не могу найти их для вас. Я знаю, что на коммутаторах Cisco вы также можете ограничить количество записей ARP на порт, поэтому, если вы не виртуализированы, вы можете установить для каждого клиентского порта значение «1», и это может не позволить изменениям произойти.

Конечно, с этим будет сложно справиться.

Такого рода проблемы в значительной степени предназначены для сетей VLAN, поэтому посмотрите, сможете ли вы устранить препятствия на пути их реализации.