我有一个已经运行多年的设置,使用光纤到 NAT 路由器到客户端。客户端通常是任何类型的廉价 NAT 路由器。
像这样设置
Fiber from ISP
|
Router, pfsense
-WAN - x.x.x.x /29 (public IP)
-LAN - 10.0.0.1 /21
|
Switches (with port-security to clients cannot "see" each other)
|
Clients (typically local Wifi Routers)
-behind each client is typically a 192.168.0.1 /24
-some clients are in bridge mode forward main routers 10.0.0.x IP's
问题是,越来越多的客户端是 Apple 路由器(Time Capsule 和 Airport Express),它们报告“双 NAT”并将其自身设置为桥接模式。
不幸的是,这种“桥接模式”带来了不少问题,因为 DHCP 提供不能很好地通过桥接模式下的 Apple 路由器转发....因此客户端设备(仅在桥接模式下的一些路由器后面)开始互相窃取 IP
在日志中,似乎同一 IP 的客户端之间存在冲突
12:37:34 kernel: arp: 10.24.1.142 moved from MAC:1 to MAC:2 on igb1
12:37:13 kernel: arp: 10.24.1.142 moved from MAC:2 to MAC:1 on igb1
12:35:44 kernel: arp: 10.24.1.142 moved from MAC:1 to MAC:2 on igb1
12:35:43 kernel: arp: 10.24.1.142 moved from MAC:2 to MAC:1 on igb1
12:35:30 kernel: arp: 10.24.1.142 moved from MAC:1 to MAC:2 on igb1
12:28:13 kernel: arp: 10.24.1.142 moved from MAC:2 to MAC:1 on igb1
12:27:45 kernel: arp: 10.24.1.142 moved from MAC:1 to MAC:2 on igb1
12:26:43 kernel: arp: 10.24.1.142 moved from MAC:2 to MAC:1 on igb1
12:25:40 kernel: arp: 10.24.1.142 moved from MAC:1 to MAC:2 on igb1
这个设置哪里出了问题?
- 更改主路由器设置?
- 通过仅允许单个 IP/MAC pr. 客户端(每个交换机端口)强制客户端禁用“桥接模式”
答案1
您的交换机没有保护从一个端口到另一个端口的安全性......
来自思科...
PVLAN 边缘(受保护端口)是一种对交换机仅具有本地意义的功能(与私有 Vlan 不同),并且位于不同交换机上的两个受保护端口之间不提供隔离。受保护端口不会将任何流量(单播、多播或广播)转发到同一交换机中也是受保护端口的任何其他端口。流量无法在 L2 的受保护端口之间转发,所有在受保护端口之间传递的流量都必须通过第 3 层 (L3) 设备转发。