статичный арп и защита от MITM атаки

[igogo56136]

Здравствуйте, подскажите насчет arp. Есть сеть с port-based vlan(около 10 vlan), настроена маршрутизация между вланами. На управляемом коммутаторе(ядре) стоит защита от arp-spoofing. к этому коммутатору подключено еще куча неуправляемых коммутаторов. Логично предположить что на неуправляемых коммутаторах можно отравить arp и сделать MITM атаку. Как решение я решил прописать статичную arp запись на каждом компьютере.Например  Если я пропишу на одном компьютере(ip 192.168.0.10) статичную arp-запись не только своего шлюза(192.168.0.1) но и остальных 9 (например 192.168.1.1 ... 192.168.9.1) это никак не повлияет на работу сети?

[fisher74]

Не повлияет.
правда с оговорочкой: до тех пор, пока Вы не уедете подальше и не нужно будет срочно заменить один из этих компов. И будут долго Вам выносить мозг по телефону, что у этого компа не работает сеть, забыв сказать о его замене.
Пользователь добавил сообщение 05 Апреля 2017, 15:12:14:И, да, отчёт, который нужно делать на этом компе, конечно же, будет уже "гореть"..

[igogo56136]

Не повлияет.
правда с оговорочкой: до тех пор, пока Вы не уедете подальше и не нужно будет срочно заменить один из этих компов. И будут долго Вам выносить мозг по телефону, что у этого компа не работает сеть, забыв сказать о его замене.
Пользователь добавил сообщение 05 Апреля 2017, 15:12:14:И, да, отчёт, который нужно делать на этом компе, конечно же, будет уже "гореть"..

Соответствие ip-mac хранят коммутаторы. Если коммутаторы которые между шлюзом и компом отключить и включить то арп таблица очистится у коммутаторов. В случае статической записи арп, коммутатор откуда узнает что на таком то порту висит такой то комп(для которого статическую запись указывали).Компьютер со статической арп записью не будет делать широковещательный запрос? или будет? Или при включении устройство и комп всеравно сделает широковещательный запрос arp ?

[fisher74]

У вас коммутаторы Layer3?

[igogo56136]

У вас коммутаторы Layer3?

L3 это головные. А промежуточные обычные неуправляемые д-линки наподобие des-1008. Ато я сейчас поставлю всем статическую арп запись, свет отключат и потом ни у кого не будет сети))) это будет жестоко)

[fisher74]

L3 это головные.

С L2 не путаете? Управляемость и уровень не одно и тоже. Модельку можете рассекретить?
Если действительно L3 то будут брадкаст слать.

[igogo56136]

L3 это головные.

С L2 не путаете? Управляемость и уровень не одно и тоже. Модельку можете рассекретить?
Если действительно L3 то будут брадкаст слать.

Коммутатор L3(ядро) dlink des-3810 на нем созданы шлюзы для vlanов остальные коммутаторы l2(des-3200)и дальше по отделам dlink des-1016 des-1008 итд

[fisher74]

Я надеюсь Вам не нужно рассказывать, что для основной работы коммутаторы уровня L2 не используют arp-таблицу.

[igogo56136]

Я надеюсь Вам не нужно рассказывать, что для основной работы коммутаторы уровня L2 не используют arp-таблицу.

NDP спасибо все работает =)

[fisher74]

NDP

Эм-м-м... в коммутаторах? L2?!!!!!
О-хо-хоюшки-хо-хо...
Иногда лучше есть, чем говорить.

[igogo56136]

NDP

Эм-м-м... в коммутаторах? L2?!!!!!
О-хо-хоюшки-хо-хо...
Иногда лучше есть, чем говорить.

я имею ввиду при включении произойдет широковещательное оповещение что комп в сети NDP ведь? коммутаторы это увидят и запишут мак

[fisher74]

Если у Вас IPv6, то видимо да.