Распростронение трафика (не предназначенного) по всем узлам в VLAN'e при статической записи в ARP-таблице.

Обсуждение ПО и его настройки
Ответить
feeee2008
Сообщения: 8
Зарегистрирован: 17 июл 2013, 11:45

Доброго времени суток.
Столкнулся с небольшой проблемой.
Имеется сервер с установленной RouterOS v6.40.5 on x86. На интерфейсе ether1 заведен vlan1.
На интерфейсе vlan1 используется внешний IP-адрес 77.77.77.129/29 и выступает в роли шлюза для клиентов подключенных в данном vlan'e.
Клиентам выдаются статические внешние IP-адреса из этой сети, т.е. 77.77.77.130-34/29
Доступ в интернет разрешается/запрещается с помощью правил firewall, через разрешенные address-lists, а так же заносится статическая запись в ARP таблицу (связка IP+MAC).

Иногда возникают неприятные ситуации,
Клиент задумал обновить оборудование, произвел замену (соответственно был изменен MAC-адрес сетевого адаптера), ввел корректные сетевые настройки, но не оповестил об изменении MAC-адреса.
Доступ в интернет ему разрешен по правилам firewall, но по факту соединения с интернетом не имеется, т.к. не проходит проверка соответствия статической записи в ARP таблице (связка IP+MAC).
Вот тут и начинается проблемка.
Так как клиент имеет прямой внешний IP-адрес (для каких то своих задач и целей), на интерфейс vlan1 (77.77.77.129/29) начинает поступать входящий трафик от хостов из вне, для дальнейшей маршрутизации на оборудование клиента.
Сервер начинает рассылать этот трафик на все остальные узлы из этой сети, вероятно по причине не соответствия статической записи из ARP-таблицы, в надежде найти искомый. Создается не благополучная ситуация, клиенты из этой сети (77.77.77.130-34/29) получают трафик не предназначенный им, т.е. их канал загружается не по их воле.
При необходимости предоставлю всю необходимую информацию.

Как избежать такого поведения?
Возможно ли не рассылать входящий трафик одного клиента на все узлы из этой же сети, при не соответствии статической связки в ARP-таблице?
Возможно была допущена ошибка при реализации описанной схемы подачи интернета?
Заранее благодарен за советы и помощь в решении данной проблемы.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

feeee2008 писал(а):Вот тут и начинается проблемка.
Так как клиент имеет прямой внешний IP-адрес (для каких то своих задач и целей), на интерфейс vlan1 (77.77.77.129/29) начинает поступать входящий трафик от хостов из вне

Это норма, если адреса статичные и были/есть ресурсы, или на/через них шла передача потокового видео, трафика, торренты качались,
то после даже отсутствия в сети такова адреса, трафик на адрес то будет продолжать идти.
feeee2008 писал(а):Сервер начинает рассылать этот трафик на все остальные узлы из этой сети, вероятно по причине не соответствия статической записи из ARP-таблицы, в надежде найти искомый. Создается не благополучная ситуация, клиенты из этой сети (77.77.77.130-34/29) получают трафик не предназначенный им, т.е. их канал загружается не по их воле.

Скорее тут Вы не точны: происходит поиск по ARP запросам найти кто ж имеет адрес нужный, так как адреса нету, то трафик и не идёт на него.
Но но, так как Вы в одной сети, то формально Вы видите поток всего, включая трафик и тот, который не для данного айпи.
То есть возьмём иной пример, 3 компа, работают через хаб(ибо вилан это L2 уровень) и естественно, если один комп отключить,
и встать и смотреть, то трафик до этого компа так и будет пытаться идти, а значит и будет косвенно/формально нам доступен.
feeee2008 писал(а):Как избежать такого поведения?
Возможно ли не рассылать входящий трафик одного клиента на все узлы из этой же сети, при не соответствии статической связки в ARP-таблице?

Сделать изоляцию портов в Вилане. Зухелевские свитчи такое умеют. Микротик, даже и не думал, наверно нет.
Лучше виланы вынести на аппаратный свитч коммутации, и тогда будет более адаптивно.
Да и в любом случаи, трафик будет доступен при текущей схеме реализации, был бы IP-адрес активен или нет.
feeee2008 писал(а):Возможно была допущена ошибка при реализации описанной схемы подачи интернета?

У меня провайдер делает изоляцию портов в рамках одного вилана, но когда надо сразу 2-4 порта,
я попросил, и в рамках моего вилана у них, мои 4 порта работают без изоляции (вместе),
мне сервера друг от друга прятать не надо. Возможно, что надо обсудить логику с провайдером,
если конечно нет других моментов. (тут могут уже быть и техническо-политические моменты,
при изоляции портов, весь трафик пойдёт уже через "ядро", могут данные иначе обсчитыватся,
и так далее). Поэтому есть свои и + и свои и -

Как ещё вариант
: не заниматься суб-провайдерством, и клиентов Ваших напрямую отправлять
заключать договор с провайдером, им провайдер выдаёт порт, сам настраивает на своём оборудоваии
и всё. Тоже не всегда оправдано, но местами проще и проще и психологически.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
feeee2008
Сообщения: 8
Зарегистрирован: 17 июл 2013, 11:45

Большое спасибо за подробный ответ.


Ответить