Распростронение трафика (не предназначенного) по всем узлам в VLAN'e при статической записи в ARP-таблице.
Добавлено: 01 дек 2017, 15:07
Доброго времени суток.
Столкнулся с небольшой проблемой.
Имеется сервер с установленной RouterOS v6.40.5 on x86. На интерфейсе ether1 заведен vlan1.
На интерфейсе vlan1 используется внешний IP-адрес 77.77.77.129/29 и выступает в роли шлюза для клиентов подключенных в данном vlan'e.
Клиентам выдаются статические внешние IP-адреса из этой сети, т.е. 77.77.77.130-34/29
Доступ в интернет разрешается/запрещается с помощью правил firewall, через разрешенные address-lists, а так же заносится статическая запись в ARP таблицу (связка IP+MAC).
Иногда возникают неприятные ситуации,
Клиент задумал обновить оборудование, произвел замену (соответственно был изменен MAC-адрес сетевого адаптера), ввел корректные сетевые настройки, но не оповестил об изменении MAC-адреса.
Доступ в интернет ему разрешен по правилам firewall, но по факту соединения с интернетом не имеется, т.к. не проходит проверка соответствия статической записи в ARP таблице (связка IP+MAC).
Вот тут и начинается проблемка.
Так как клиент имеет прямой внешний IP-адрес (для каких то своих задач и целей), на интерфейс vlan1 (77.77.77.129/29) начинает поступать входящий трафик от хостов из вне, для дальнейшей маршрутизации на оборудование клиента.
Сервер начинает рассылать этот трафик на все остальные узлы из этой сети, вероятно по причине не соответствия статической записи из ARP-таблицы, в надежде найти искомый. Создается не благополучная ситуация, клиенты из этой сети (77.77.77.130-34/29) получают трафик не предназначенный им, т.е. их канал загружается не по их воле.
При необходимости предоставлю всю необходимую информацию.
Как избежать такого поведения?
Возможно ли не рассылать входящий трафик одного клиента на все узлы из этой же сети, при не соответствии статической связки в ARP-таблице?
Возможно была допущена ошибка при реализации описанной схемы подачи интернета?
Заранее благодарен за советы и помощь в решении данной проблемы.
Столкнулся с небольшой проблемой.
Имеется сервер с установленной RouterOS v6.40.5 on x86. На интерфейсе ether1 заведен vlan1.
На интерфейсе vlan1 используется внешний IP-адрес 77.77.77.129/29 и выступает в роли шлюза для клиентов подключенных в данном vlan'e.
Клиентам выдаются статические внешние IP-адреса из этой сети, т.е. 77.77.77.130-34/29
Доступ в интернет разрешается/запрещается с помощью правил firewall, через разрешенные address-lists, а так же заносится статическая запись в ARP таблицу (связка IP+MAC).
Иногда возникают неприятные ситуации,
Клиент задумал обновить оборудование, произвел замену (соответственно был изменен MAC-адрес сетевого адаптера), ввел корректные сетевые настройки, но не оповестил об изменении MAC-адреса.
Доступ в интернет ему разрешен по правилам firewall, но по факту соединения с интернетом не имеется, т.к. не проходит проверка соответствия статической записи в ARP таблице (связка IP+MAC).
Вот тут и начинается проблемка.
Так как клиент имеет прямой внешний IP-адрес (для каких то своих задач и целей), на интерфейс vlan1 (77.77.77.129/29) начинает поступать входящий трафик от хостов из вне, для дальнейшей маршрутизации на оборудование клиента.
Сервер начинает рассылать этот трафик на все остальные узлы из этой сети, вероятно по причине не соответствия статической записи из ARP-таблицы, в надежде найти искомый. Создается не благополучная ситуация, клиенты из этой сети (77.77.77.130-34/29) получают трафик не предназначенный им, т.е. их канал загружается не по их воле.
При необходимости предоставлю всю необходимую информацию.
Как избежать такого поведения?
Возможно ли не рассылать входящий трафик одного клиента на все узлы из этой же сети, при не соответствии статической связки в ARP-таблице?
Возможно была допущена ошибка при реализации описанной схемы подачи интернета?
Заранее благодарен за советы и помощь в решении данной проблемы.