[GTER] Duvida elementar sobre PPPoE

Eduardo Schoedler listas at esds.com.br
Sat Mar 28 22:37:53 -03 2015 

O que impede de o cliente escutar e forjar algum mac address?

--
Eduardo Schoedler


Em sábado, 28 de março de 2015, Rubens Kuhl <rubensk at gmail.com> escreveu:

> >
> > Uma dúvida sobre o DHCP é a seguinte, e se o usuário fixar o IP dele que
> > deveria ser dinâmico. Como contornar e evitar?
> >
>
> O que eu fazia era controle de ARP. O ARP do gateway era reply-only (ele
> respondia perguntas ARP para seu IP, mas nunca perguntava o MAC de nenhum
> outro IP), e a tabela era preenchida pelas respostas do servidor DHCP.
> Assim, nenhum pacote voltava para quem não tinha feito uma requisição DHCP
> que tivesse sido aprovada.
>
> Em RouterOS, onde isso foi feito, era algo parecido com
> /interface ethernet set 1 arp=reply-only
> /ip dhcp-server add-arp=yes
>
>
>
> >
> > Em um cenário que tenho rodando, os clientes estão todos conectados a
> > switches, ou seja, rede P2P.
> > Nosso sistema configura a porta do switch automaticamente quando o
> cliente
> > é provisionado. Ele sobe comandos como:
> >
> > interface FastEthernet0/12
> >
> >  description id_10041_name_cliente_ltda_
> >
> >  switchport access vlan 6
> >
> >  switchport mode access
> >
> >  switchport protected
> >
> >  switchport port-security
> >
> >  switchport port-security maximum 5
> >
> >  switchport port-security aging time 30
> >
> >  switchport port-security violation restrict
> >
> >  switchport port-security aging type inactivity
> >
> >  no snmp trap link-status
> >
> >  storm-control action shutdown
> >
> >  no cdp enable
> >
> >  spanning-tree portfast
> >
> >  spanning-tree bpdufilter enable
> >
> >  ip dhcp snooping limit rate 10
> >
> >
> > A vlan 6 neste caso é a VLAN do provedor para clientes PME.
> > Tem um DHCP server rodando nesta VLAN, entregando um IP de um /26, ou
> > quando é cliente com ip fixo indicamos o ip que ele deve configurar no
> > roteador.
> >
> > Funciona bem. A velocidade é controlada nesta configuração do switch
> > (apesar de que nao estou vendo nenhum controle de velocidade neste
> exemplo
> > que colei acima. Enfim, não sou o especialista. Mas sei que funciona).
> >
>
> O DHCP Snooping do IOS resolve uma parte dos problemas, mas para a parte de
> ARP precisaria ligar o DAI (Dynamic Arp Inspection), que parece que ficou
> faltando. Ele é um complemento para atrelar as requisições ARP à tabela que
> é montada pelo DHCP Snooping.
>
>
>
> Rubens
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter



-- 
Eduardo Schoedler

More information about the gter mailing list