Какой лучший способ заблокировать IP-спуфинг на коммутаторе 3-го уровня?

Question

Какой лучший способ заблокировать IP-спуфинг на коммутаторе 3-го уровня?

Мы размещаем выделенные серверы и в настоящее время используем старые коммутаторы 3com с ACL на основе IP. Таким образом, каждый порт имеет ACL, который разрешает все IP-адреса, назначенные этому клиенту, и блокирует все остальное.

Но теперь 3com был куплен HP, и последующая модель поддерживает только базовые списки ACL, которые недостаточно гибки, чтобы разрешать одни IP-адреса и одновременно блокировать другие. Рассматривая другие коммутаторы в аналогичном ценовом диапазоне, мы обнаружили, что большинство из них имеют похожие проблемы или вообще не предлагают никаких функций ACL.

Я предполагаю, что это также может быть как-то сделано с VLAN, но если я правильно понимаю, нам все равно понадобится какой-нибудь ACL, чтобы фактически указать действительные IP-адреса для каждого порта.

Что вы используете, чтобы убедиться, что ваши клиенты не используют неназначенные IP-адреса? Или какие коммутаторы вы можете порекомендовать, чтобы иметь гибкие функции ACL?

1

switch access-control-list spoofing

Источник

toupeira 13 янв '11 в 15:58

1 ответ

Другие вопросы по тегам switch access-control-list spoofing

Niall Donegan 13 янв '11 в 17:25 2011-01-13 17:25 · Answer 1 · 2011-01-13 17:25

Работая в основном в магазине Cisco здесь, и даже самые простые из серии 29XX поддерживают ACL. Это так же просто, как добавить список доступа вверху, например:

ip access-list стандарт Fa01
 разрешение 192.0.2.1
 разрешение 192.0.2.2

А потом в конфиге для интерфейса Fa0/1

интерфейс FastEthernet0/1
 ip access-group fa01 в

Несомненно, есть другие коммутаторы других производителей, которые могут это сделать, но я могу порекомендовать Cisco для этой работы.