https://opennet.ru/openforum/vsluhforumID6/2015.html Подскажите пожалуйста.<br><br>Вот если на L3 коммутаторе Cisco подвесить сетку с реальными ip<br><br>Например:<br>int vlan 10<br> ip addr 1.1.1.254 255.255.255.0<br>end<br><br>и подключиться ноутом в этот vlan<br><br>то сниффером сразу видно, что этот диапазон начинают сканировать боты и летит очень много ARP запросов c Cisco:<br><br>who-has 1.1.1.34 tell 1.1.1.254<br>who-has 1.1.1.12 tell 1.1.1.254<br>who-has 1.1.1.56 tell 1.1.1.254<br><br>Как сделать чтобы ARP в этом vlan'е работал только для тех ip которые реально есть?<br><br>Спасибо.<br><br>P.S. Просто это актуально для WiFi сетки - засоряется эфир.<br> https://opennet.ru/openforum/vsluhforumID6/2015.html#12 Fri, 19 Aug 2016 15:22:46 GMT unknown unicast flood - большая проблема для датацентров например.<br>Где приходится держать несколько сеток в одном сегменте.<br> https://opennet.ru/openforum/vsluhforumID6/2015.html#11 Fri, 19 Aug 2016 11:50:27 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; ip route 1.1.1.0 255.255.255.0 null 0 <br>&gt;&gt;&gt; int loopback 10 <br>&gt;&gt;&gt; ip add 1.1.1.1 255.255.255.0 <br>&gt;&gt;&gt; int vl 10 <br>&gt;&gt;&gt; ip unnumbered loopback 10 <br>&gt;&gt;&gt; ip route 1.1.1.2 255.255.255.255 vlan 10 <br>&gt;&gt; Это костыль <br>&gt;&gt; Мое мнение - нужно выяснять источник этих запросов, а не грузить процессор <br>&gt;&gt; сливом в нулл <br>&gt; Адреса белые на инт-се <br><br>...и?<br>Вы провайдер и вам летят с чужих автономок эти запросы?<br><br> https://opennet.ru/openforum/vsluhforumID6/2015.html#10 Fri, 19 Aug 2016 05:17:44 GMT &gt;[оверквотинг удален]<br>&gt;&gt; no ip send-unrea <br>&gt;&gt; ip route 1.1.1.0 255.255.255.0 null 0 <br>&gt;&gt; int loopback 10 <br>&gt;&gt; ip add 1.1.1.1 255.255.255.0 <br>&gt;&gt; int vl 10 <br>&gt;&gt; ip unnumbered loopback 10 <br>&gt;&gt; ip route 1.1.1.2 255.255.255.255 vlan 10 <br>&gt; Это костыль <br>&gt; Мое мнение - нужно выяснять источник этих запросов, а не грузить процессор <br>&gt; сливом в нулл <br><br>Адреса белые на инт-се<br> https://opennet.ru/openforum/vsluhforumID6/2015.html#9 Fri, 19 Aug 2016 03:21:59 GMT &gt; ip unnumbered например <br>&gt; int null 0 <br>&gt; no ip send-unrea <br>&gt; ip route 1.1.1.0 255.255.255.0 null 0 <br>&gt; int loopback 10 <br>&gt; ip add 1.1.1.1 255.255.255.0 <br>&gt; int vl 10 <br>&gt; ip unnumbered loopback 10 <br>&gt; ip route 1.1.1.2 255.255.255.255 vlan 10 <br><br>Это костыль<br>Мое мнение - нужно выяснять источник этих запросов, а не грузить процессор сливом в нулл<br> https://opennet.ru/openforum/vsluhforumID6/2015.html#8 Thu, 18 Aug 2016 10:46:24 GMT ip unnumbered например<br><br>int null 0<br>no ip send-unrea<br>ip route 1.1.1.0 255.255.255.0 null 0<br>int loopback 10<br>ip add 1.1.1.1 255.255.255.0<br>int vl 10<br>ip unnumbered loopback 10<br>ip route 1.1.1.2 255.255.255.255 vlan 10<br> https://opennet.ru/openforum/vsluhforumID6/2015.html#7 Tue, 16 Aug 2016 09:02:29 GMT Кто то из хостов, подключенной к данному коммутатору, запрашивает соединения с данными адресами. Хост можете определить ACL с логированием, повешанным на int vlan 10.<br>Например <br>ip access-l ex LOG<br> permit ip any any log<br>int vlan 10<br> ip access-gr LOG out<br><br>... на консоли включайте term mon (это если не с кабеля сидите) и ждите вражину<br> https://opennet.ru/openforum/vsluhforumID6/2015.html#6 Sun, 14 Aug 2016 18:01:30 GMT &gt;[оверквотинг удален]<br>&gt; и подключиться ноутом в этот vlan <br>&gt; то сниффером сразу видно, что этот диапазон начинают сканировать боты и летит <br>&gt; очень много ARP запросов c Cisco: <br>&gt; who-has 1.1.1.34 tell 1.1.1.254 <br>&gt; who-has 1.1.1.12 tell 1.1.1.254 <br>&gt; who-has 1.1.1.56 tell 1.1.1.254 <br>&gt; Как сделать чтобы ARP в этом vlan'е работал только для тех ip <br>&gt; которые реально есть?<br>&gt; Спасибо.<br>&gt; P.S. Просто это актуально для WiFi сетки - засоряется эфир.<br><br>Может просто нагенерить статических записей?<br><br> https://opennet.ru/openforum/vsluhforumID6/2015.html#5 Sat, 13 Aug 2016 11:04:15 GMT &gt; сделать так, что внутри vlan'а ARP работал только с теми ip <br>&gt; которые реально есть, а для тех, кого нет - то дропался. <br><br>Вообще-то ARP как раз и импользуется для того, чтоб понять, есть ли получатель и каков его физический адрес. Откуда циске знать, жив хост или не жив, если не посредством арп-запроса?<br><br>Если так сильно не нравится - вырубайте арп и прописывайте все адреса статически.<br>P.S. даже 10-15 пакетов в секунду не смогут скол-нибудь значимо "засорять" эфир, это просто смешные цифры.<br> https://opennet.ru/openforum/vsluhforumID6/2015.html#4 Fri, 12 Aug 2016 12:04:56 GMT Не совсем понял что вы написали.<br><br>Этот arp flood, он легитимный - если я сам начну извне сканировать диапазон 1.1.1.0/24 то я тоже увижу эти who-has в большом количестве.<br><br>Мне нужно понять - можно ли с помощью каких-то спец.настроек или ACL, сделать так, что внутри vlan'а ARP работал только с теми ip которые реально есть, а для тех, кого нет - то дропался.<br>