Задать вопрос
@yourfatherinlaw

Настройка защиты dhcp snooping+arp spoofing mikrotik?

Есть много старых коммутаторов crs112, на них VLANы через switch. Как корректно настроить защиту от dhcp rogue и arp spoofing? Trusted порт не работает, так как vlan, bridge vlan filtering не включен, так как switch...
  • Вопрос задан
  • 54 просмотра
Подписаться 1 Простой Комментировать
Помогут разобраться в теме Все курсы
  • Нетология
    Сетевой инженер
    13 месяцев
    Далее
  • Институт профессиональных квалификаций
    Сетевой и системный администратор
    2 месяца
    Далее
  • АБИУС
    Сетевой системный администратор
    2 месяца
    Далее
Решения вопроса 1
opium
@opium
Просто люблю качественно работать
На CRS112 (CRS1xx/2xx чип) DHCP snooping через bridge/trusted не нужен вообще, там есть родной механизм Protocol Level Isolation:
/interface ethernet switch port-isolation add port-profile=X protocol-type=dhcpv4 type=dst forwarding-type=bridged ports=ether1
(это порт к DHCP-серверу), клиентским портам ставишь тот же isolation-leakage-profile-override — и левые DHCP-ответы просто не доходят дальше свитч-чипа, bridge vlan-filtering тут вообще не нужен. Для arp spoofing нормального DAI на этом чипе нет, ближе всего Limited MAC Access per Port + arp=reply-only на шлюзе, но это защищает только сам шлюз, не L2 между клиентами.
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы