Кауза пердута е това без умен суич с dhcp snooping или 802.1x автентикация. Човек ако го прави нарочно това, винаги може да слухти известно време трафика и да разбере колкото си иска двойки IP-MAC адреси и да се прави на когото си иска. Да, то може да си инсталираш arpwatch или нещо друго подобно, което на момента да те уведомява като се получат дуплицирани ARP отговори, ама какво от това - ще ходиш по суичовете и ще разкачаш кабели докато намериш гадината? Дори на всеки порт да имаш лепенка с MAC адреса отсреща, дори да си правиш тънки сметки с това през колко суича до теб е на база латентността, не можеш по цял ден да стоиш като сотаджия на повикване. То не е проблем само с малките доставчици - аз имах един казус с Мтел дето ми взеха едни пари уж за да ме вържат в мрежата и не дойдоха две седмици, а междувременно се оказа че аз винаги съм си имал L2 свързаност, при което ми изпуши главата и отидох и им заявих в съпорт форума че ако не ми дадат мрежови настройки и не ми върнат таксата, ще почна да се правя на който реша, понеже те и да са голяма компания, също нямат умни суичове при крайните клиенти, поне тук. То там дори стана по-къдраво, защото се появи един трол дето си мисли че е по-голям трол от мен, ама нещо не се получи, за това си трябва талант. Още на същият ден обаче се уреди проблема.
Съгласен съм, че е почти кауза пердута без умни комутатори, но потребителите при мен не са злонамерени. Просто някой си мисли, че е много наясно с мрежовите технологии и прави тези проблеми от глупост, а не защото иска.
Засега се спирам на идеята при откриване на дублирани адреси и/или при оплакване за IP конфликт да режа тотално достъпа на нарушителя по неговия mac адрес и да го чакам сам да дойде да пита какво става. Това предполага известна ръчна бродерия, но пък не ме притеснява чак толкова -- случаите не са драстично много, че да ми се схванат ръцете, но все пак ги има.
А за умни комутатори -- ще видим. Повече от 8 години разправям, че цялата мрежа е за подмяна, но шефовете нехаят. Едно, че наистина няма много пари, второ -- че нещата (с моя помощ) все още работят и трето -- просто не са наясно какво означава да останат без мрежа. Та при една нова мрежа се надявам да се преборя за умни комутатори. Ако не всички, поне по един такъв да има на етаж.
Благодаря още веднъж на всички отзовали се.