Jump to content
Калькуляторы

semop

Пользователи
  • Content Count

    366
  • Joined

  • Last visited

About semop

  • Rank
    Студент

Информация

  • Пол
    Не определился

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. а как он узнает про микротиковость?
  2. Я думаю, если аппаратный баг действительно имеет место быть, то по честному было бы фиксить это силами производителя, либо замена бартером OLT на OLT. Это ж не тамагочи за 50 рублей.
  3. У нее с DHCP-RA что-то. Оно может месяц работать, а потом развалиться. И устроить такой жуткий ахтунг при попытки авторизации абонентов, что валит наглухо весь радиус. Грузишь и она заводится. И такой бубен может случиться в выходные или ночью, или вообще когда угодно. Я там и софт менял и конфиг сносил, все бестолку. С тех.саппортом общался. Проблема плавающая и воспроизвести на столе я ее не могу, а когда она случается быстро подозвать саппорт нет возможности или из-за инерции ответа на запрос или не совпадение рабочего времени, они ж в Новосибе работают. И вопщем надоело. Взял такую же, копипастом вставил конфиг. И все починилось. Звоню в элтэкс, говорю, мол что мне со старой делать? Нормально пользоваться не могу. Везите за бабло. Станция чуть больше года отбарабанила(
  4. Здравствуйте. Это принципиальная особенность? В схеме когда SNR = querier. Просто без прокси создается впечатление что SNR как то криво отвечает на REPORT. Вот смотрите: схема SNR(querier=proxy) - SNR Включил группу на ноутбуке и ПК. SNR_CORE#sh ip igm sn vlan 100 gr 239.195.7.3 IGMP Snooping Connect Group Membership Note:*-All Source, (S)- Include Source, -Exclude Source Groups Sources Ports Exptime SrcMac System Level 239.195.7.3 * Ethernet1/0/14 00:05:05 00:15:17:27:08:34 V2 Ethernet1/0/14 00:05:05 00:21:91:7B:A7:0D V2 Port-Channel1 00:06:20 50:E5:49:29:DB:AC V2 Port-Channel1 00:06:20 00:0F:3D:CE:49:80 V2 Port-Channel10 00:05:08 00:1A:79:16:F1:0A V2 Отключил группу (на 49:80) SNR_CORE#sh ip igm sn vlan 100 gr 239.195.7.3 IGMP Snooping Connect Group Membership Note:*-All Source, (S)- Include Source, -Exclude Source Groups Sources Ports Exptime SrcMac System Level 239.195.7.3 * Ethernet1/0/14 00:05:04 00:15:17:27:08:34 V2 Ethernet1/0/14 00:05:04 00:21:91:7B:A7:0D V2 Port-Channel1 00:01:16 50:E5:49:29:DB:AC V2 Port-Channel10 00:05:07 00:1A:79:16:F1:0A V2 Отправил leave. Получил specific-query, отправил report что хочу ее дальше смотреть. И ждем ждем ждем. SNR_CORE#sh ip igm sn vlan 100 gr 239.195.7.3 IGMP Snooping Connect Group Membership Note:*-All Source, (S)- Include Source, -Exclude Source Groups Sources Ports Exptime SrcMac System Level 239.195.7.3 * Ethernet1/0/14 00:04:44 00:15:17:27:08:34 V2 Ethernet1/0/14 00:04:44 00:21:91:7B:A7:0D V2 Port-Channel1 00:00:56 50:E5:49:29:DB:AC V2 Port-Channel10 00:04:47 00:1A:79:16:F1:0A V2 Таймер рандомно может дойти и до 10сек до конца, и порт переподпишет, а может и быстро за 10 сек переподписать, а может даже до 00, и удалить порт само собой. == Поднял тайминг коэффициентом robustness: Igmp snooping information for vlan 100 Igmp snooping L2 general querier :Yes(COULD_QUERY) Igmp snooping query-interval :125(s) Igmp snooping max response time :10(s) Igmp snooping specific-query max response time :25(s) Igmp snooping robustness :3 Igmp snooping mrouter port keep-alive time :380(s) Igmp snooping query-suppression time :380(s) Вроде успевает переподписываться. Но есть включить прокси, то этой проблемы вообще нет. Переподписывает порт махом. Но с прокси тоже есть одна непонятная вещь. Кусок таблицы: Port-Channel1 00:03:01 00:1A:79:22:98:E7 V2 239.195.0.2 * Ethernet1/0/14 00:00:44 00:15:17:27:08:34 V1 Ethernet1/0/14 00:00:44 00:1A:79:20:F4:EC V1 Port-Channel1 00:02:56 0C:80:63:1C:1C:49 V2 239.195.0.4 * Ethernet1/0/14 00:03:02 00:15:17:27:08:34 V1 Ethernet1/0/14 00:03:02 84:79:73:DF:8F:9D V2 239.195.0.5 * Ethernet1/0/14 00:02:59 00:15:17:27:08:34 V1 239.195.0.7 * Ethernet1/0/14 00:00:46 00:15:17:27:08:34 V1 Port-Channel10 00:03:05 00:1A:79:16:CC:D0 V2 239.195.0.8 * Ethernet1/0/14 00:00:50 00:15:17:27:08:34 V1 239.195.0.14 * Ethernet1/0/14 00:02:58 00:15:17:27:08:34 V1 239.195.0.18 * Ethernet1/0/14 00:03:04 00:15:17:27:08:34 V1 239.195.0.26 * Ethernet1/0/14 00:03:03 00:15:17:27:08:34 V1 239.195.0.29 * Ethernet1/0/14 00:03:05 00:15:17:27:08:34 V1 Ethernet1/0/14 00:03:05 00:21:91:7B:AA:C5 V1 Ethernet1/0/14 00:03:05 00:1A:79:15:F8:85 V1 Port-Channel10 00:02:58 00:21:91:7B:A6:E4 V2 239.195.0.37 * Ethernet1/0/14 00:02:59 00:15:17:27:08:34 V1 Port-Channel1 00:03:03 00:1A:79:21:9D:96 V2 239.195.0.41 * Ethernet1/0/14 00:03:02 00:15:17:27:08:34 V1 Ethernet1/0/14 00:03:02 00:21:91:7B:AC:BE V1 Port-Channel10 00:03:05 C4:6E:1F:E2:B0:7D V2 239.195.0.52 * Ethernet1/0/14 00:03:01 00:15:17:27:08:34 V1 Ethernet1/0/14 00:03:01 00:1A:79:20:D9:DA V1 Ethernet1/0/14 00:03:01 00:21:91:7B:B0:90 V1 Port-Channel10 00:03:04 00:1A:79:2B:6B:83 V2 239.195.0.57 * Ethernet1/0/14 00:03:04 00:15:17:27:08:34 V1 Port-Channel1 00:04:18 00:0F:3D:CE:49:80 V2 239.195.0.58 * Ethernet1/0/14 00:03:00 00:15:17:27:08:34 V1 Ethernet1/0/14 00:03:00 00:21:91:7B:AA:53 V1 Port-Channel10 00:02:57 00:21:91:7B:AB:89 V2 239.195.0.81 * Ethernet1/0/14 00:03:03 00:15:17:27:08:34 V1 239.195.0.86 * Ethernet1/0/14 00:03:04 00:15:17:27:08:34 V1 239.195.0.96 * Ethernet1/0/14 00:03:02 00:15:17:27:08:34 V1 Port-Channel10 00:02:57 B0:BE:76:7F:09:11 V2 239.195.1.1 * Ethernet1/0/14 00:03:21 00:1A:79:11:A8:AB V2 Ethernet1/0/14 00:03:21 00:16:E8:83:49:2E V1 Ethernet1/0/14 00:03:21 00:1A:79:09:3E:CB V1 Ethernet1/0/14 00:03:21 00:15:17:5E:A9:2D V1 Ethernet1/0/14 00:03:21 00:21:91:7B:B0:7C V1 Ethernet1/0/14 00:03:21 00:15:17:27:08:34 V1 Port-Channel1 00:03:05 00:1A:79:22:C5:AC V2 Port-Channel1 00:03:05 0C:80:63:89:CF:39 V2 Port-Channel10 00:03:01 00:1A:79:32:D4:7F V2 Port-Channel10 00:03:01 00:21:91:7B:A7:32 V2 Port-Channel10 00:03:01 00:21:91:7B:B1:4D V2 Port-Channel10 00:03:01 00:21:91:7B:AC:97 V2 Port-Channel10 00:03:01 00:1A:79:16:F8:AD V2 239.195.1.7 * Port-Channel10 00:03:00 00:21:91:7B:A9:F2 V2 Port-Channel10 00:03:00 00:1A:79:16:F8:AD V2 Querier отвечает на IGMP v1. В этом случае на мультикасте может происходит непонятно что. Но тут есть один момент. Я подозреваю что проблема может быть в хосте (00:15:17:27:08:34) это сервер *каста, который получает по IGMP группы и дальше их гонит в сторону кабельного ТВ сегмента. В принципе почти ничего страшного, но хотелось бы выпилить V1. А так же по Querier PROXY - прокси необходим, или что то не так настроено возможно?
  5. я думаю аналогично, но например snr терминалы ни один не сломался. Станции тоже свистят. У eltex штук 7-8 терминалов кипяченых, и одна демонтированая станция LTP-8x которая живет своей жизнью. Успел за год сервисного обслуживания поменять только блок питания на LTP. Сейчас просто не дышим) Имхо как то поприкольнее хотелось бы за эти деньги, тем более когда есть с чем сравнивать.
  6. в свете последних событий, смею предположить что эту штуку можно реанимировать. Если не считать корп. организации которые катаются по л3впн с 2000 из переферии в Москву. Например у вас есть клиент с локальной сетью. На микротиках само собой. У этого клиента куча точек. И вот пожалуйста. Они увольняют нафик своего приходящего/уходящего одмина микротиковода, а провайдер берет их локалку на аутосорсинг. Собрал л3впн внутри своей же сети и забираешь аб.плату за сеть передачи данных. Мы так одного подключили. Для теста, посмотреть что будет. А еще это само оживает, когда два клиента дружили дружили, а потом один другого купил) Хоба, и надо внезапно соединиться. Такой тоже есть. Один правда. Иногда включается режим менеджеризма, когда сидишь и думаешь что можно продать, при условии что все уже давно придумано и продается. Вот это задачка. ПС: за последние 2мес мы подключили 2 компьютерных клуба. С реальными игроками. Кач 300-400мбит. Я тоже думал что это умерло триста лет назад. А нет. Если поставить кальян, то можно))
  7. Если железяка отработала более года, то эта штука платная будет. Удобно, да?)
  8. @Aleksey Sonkin Да, на мастере. Про применение налету это хорошая инфа. Спасибо.
  9. Здравствуйте. Могу ли я на лету поменять balance на работающем port-channel? ! Interface Port-Channel1 load-balance dst-src-mac ! Interface Port-Channel2 load-balance dst-src-mac ! Скажем на dst-src-ip. Стек не развалится после применения команд сначала с одной стороны, потом с другой?
  10. Да. Зато когда включаю фильтрацию - становится в допусках и ЦПУ и сервисы, которые коммутатор коммутирует. Без фильтрации пускай нам будет наплевать на CP свича, или он даже не напрягается от этого. Ладно. А как же абонентские сервисы? Абонент в другой части города помирает от флуда другого абонента из другой части города, если у него запустить эту шнягу. Цель была не столько защитить оборудование, сколько зафильтровать это в любую сторону для абонентов. По итогам лабы у меня получился ACL для любого роутера, который умеет ACL'ы. Хоть цыска, хоть хуавэй, хоть чего. Но я согласен что он неполный. Хотя это же лучше чем ничего. Можно поставить и на доступе и около бордера, потому что как мы знаем флудить можно и без интернета. Вот у вас например не стоит. Получается я могу таким же образом нагрузить обратный канал любого вашего абонента скушав его тарифный план, находясь в вашей сети. И пограничная ддос фильтрация у бордера вам не поможет, потому что дальше шлюза локальному хакеру идти и не надо) точнее он там и не пойдет. А бывает такое что у людей на сети один влан на весь доступ. Тогда вообще приехали, и шлюз то не нужен особо. Это же сверхзаблуждение, что этот дос может придти только снаружи. Я вот про что.
  11. Свичи длинк. DES 3028 и DES 3200-28. Это почти не принципиально, потому что на DGS то же самое. Что было под рукой то и взял. Я это начал ковырять, потому что стало интересно что свич считает дос атакой и что вообще происходит в это время. В документации мало информации, это я тоже писал. Я даже согласен что тест был не до конца качественный, а может вообще неправильный) Хотя даже этого хватило чтоб нагрузить свич по процессору и повалять другой хост в рамках среднестатистического конфига коммутатора доступа. Он поднимает ЦПУ без защит) Включаешь - все в порядке и у свича и у ноутбука. Смысл лабы был просто посмотреть что произойдет, если ничего не делать. Вот например часть вариантов неверной комбинации флагов, которые свич считает tcp_sinfin атакой: Хуавэйный конфиг (у длинка это не расписано, там просто conf dos tcp_sinfin enable): rule 0 deny tcp ack 1 fin 1 psh 1 rst 1 syn 1 urg 1 rule 1 deny tcp rst 1 syn 1 fin 1 rule 2 deny tcp rst 1 syn 1 fin 1 ack 1 rule 3 deny tcp syn 1 fin 1 rule 4 deny tcp syn 1 fin 1 ack 1 rule 5 deny tcp syn 1 rst 1 Выкинем коммутаторный CP. Пес с ним, пускай работает. Атака хост - хост. Внутри описанной выше схемы. Без этих правил атакующий кладет другой хост, поднимает цпу свича. Если это передача данных - то внутри. Если интернет, то петелькой через роутер. В сам интернет наружу оно не вылезает, это и не обязательно. А например вы защищаетесь у бордера. Это 50%. ======= Конфиг не жалко, просто там ничего умного нет. Схема ПД: 1 порт (101 влан) - ноутбук. 101 влан (внутри него и устраивался "дос") - проключен до 3 свича (настройки аналогичные) 2 свич - тоже самое, просто 101 в транке на двух портах. 1999 управление, включен мультикаст, лупдетект, трафик-контрол. Свич ни на что не ругался, кроме доса, который вообще не для него предназначался. Получилась схема из 3 свичей, между которыми брошен 101 влан. (ноут и хакер) Хакер может атаковать ноут без проблем при выклюенном dos_pre (в конфиге он включен). Вторая часть лабы была в переключении обоих на интернет. Добавился второй влан 102 для хакера. Ноут 101, хакер 102. К транзитному свичу подключен роутер (сабинтерфейсы 101 и 102). Оба хоста в интернете. Хакер может атаковать ноут без проблем. Но уже через роутер, что естественно. Просто сам факт что может. Про хакера писать? У ноута не открывался tcp, когда хакер отвечал неверными флагами на SYN ноутбука. И получилась гора неоткрытых tcp на время таймаута. Свич пишет в логах SYN_FIN атака, а ноут в это время пингует свой интернет с жуткими потерями. У blat другие флаги. В хакеризме не силен, это самое простое что смог изобразить в качестве доса, поэтому можно наверно посмеяться на такой вариант) Зато работает. Конфиг свича, к которому подключен ноут (хакерский свич настроен аналогично): Все простецко. DES-3028 Fast Ethernet Switch Command Line Interface Firmware: Build 2.94.B04 Copyright(C) 2008 D-Link Corporation. All rights reserved. UserName:admin PassWord:***** DES-3028:5#sh conf cur Command: show config current_config #------------------------------------------------------------------- # DES-3028 Configuration # # Firmware: Build 2.94.B04 # Copyright(C) 2008 D-Link Corporation. All rights reserved. #------------------------------------------------------------------- # BASIC config serial_port baud_rate 9600 auto_logout 10_minutes # ACCOUNT LIST create account admin admin admin admin # ACCOUNT END # PASSWORD ENCRYPTION disable password encryption config terminal_line default enable clipaging disable command logging enable password_recovery # STORM config traffic trap both config traffic control 1-24 broadcast enable multicast enable unicast enable action drop threshold 64 countdown 0 time_interval 5 config traffic control 25-28 broadcast disable multicast disable unicast disable action drop threshold 64 countdown 0 time_interval 5 # LOOP_DETECT enable loopdetect config loopdetect recover_timer 60 config loopdetect interval 10 config loopdetect trap none config loopdetect port 1-24 state enabled config loopdetect port 25-28 state disabled # QOS config scheduling_mechanism strict config scheduling 0 weight 1 config scheduling 1 weight 2 config scheduling 2 weight 4 config scheduling 3 weight 8 config 802.1p user_priority 0 1 config 802.1p user_priority 1 0 config 802.1p user_priority 2 0 config 802.1p user_priority 3 1 config 802.1p user_priority 4 2 config 802.1p user_priority 5 2 config 802.1p user_priority 6 3 config 802.1p user_priority 7 3 config cos tos value 0 class 0 config cos tos value 1 class 0 config cos tos value 2 class 0 config cos tos value 3 class 0 config cos tos value 4 class 0 config cos tos value 5 class 0 config cos tos value 6 class 0 config cos tos value 7 class 0 config dscp_mapping dscp_value 0 class 0 config dscp_mapping dscp_value 1 class 0 config dscp_mapping dscp_value 2 class 0 config dscp_mapping dscp_value 3 class 0 config dscp_mapping dscp_value 4 class 0 config dscp_mapping dscp_value 5 class 0 config dscp_mapping dscp_value 6 class 0 config dscp_mapping dscp_value 7 class 0 config dscp_mapping dscp_value 8 class 0 config dscp_mapping dscp_value 9 class 0 config dscp_mapping dscp_value 10 class 0 config dscp_mapping dscp_value 11 class 0 config dscp_mapping dscp_value 12 class 0 config dscp_mapping dscp_value 13 class 0 config dscp_mapping dscp_value 14 class 0 config dscp_mapping dscp_value 15 class 0 config dscp_mapping dscp_value 16 class 0 config dscp_mapping dscp_value 17 class 0 config dscp_mapping dscp_value 18 class 0 config dscp_mapping dscp_value 19 class 0 config dscp_mapping dscp_value 20 class 0 config dscp_mapping dscp_value 21 class 0 config dscp_mapping dscp_value 22 class 0 config dscp_mapping dscp_value 23 class 0 config dscp_mapping dscp_value 24 class 0 config dscp_mapping dscp_value 25 class 0 config dscp_mapping dscp_value 26 class 0 config dscp_mapping dscp_value 27 class 0 config dscp_mapping dscp_value 28 class 0 config dscp_mapping dscp_value 29 class 0 config dscp_mapping dscp_value 30 class 0 config dscp_mapping dscp_value 31 class 0 config dscp_mapping dscp_value 32 class 0 config dscp_mapping dscp_value 33 class 0 config dscp_mapping dscp_value 34 class 0 config dscp_mapping dscp_value 35 class 0 config dscp_mapping dscp_value 36 class 0 config dscp_mapping dscp_value 37 class 0 config dscp_mapping dscp_value 38 class 0 config dscp_mapping dscp_value 39 class 0 config dscp_mapping dscp_value 40 class 0 config dscp_mapping dscp_value 41 class 0 config dscp_mapping dscp_value 42 class 0 config dscp_mapping dscp_value 43 class 0 config dscp_mapping dscp_value 44 class 0 config dscp_mapping dscp_value 45 class 0 config dscp_mapping dscp_value 46 class 0 config dscp_mapping dscp_value 47 class 0 config dscp_mapping dscp_value 48 class 0 config dscp_mapping dscp_value 49 class 0 config dscp_mapping dscp_value 50 class 0 config dscp_mapping dscp_value 51 class 0 config dscp_mapping dscp_value 52 class 0 config dscp_mapping dscp_value 53 class 0 config dscp_mapping dscp_value 54 class 0 config dscp_mapping dscp_value 55 class 0 config dscp_mapping dscp_value 56 class 0 config dscp_mapping dscp_value 57 class 0 config dscp_mapping dscp_value 58 class 0 config dscp_mapping dscp_value 59 class 0 config dscp_mapping dscp_value 60 class 0 config dscp_mapping dscp_value 61 class 0 config dscp_mapping dscp_value 62 class 0 config dscp_mapping dscp_value 63 class 0 config 802.1p default_priority 1-28 0 config cos mapping port 1-24 ethernet 802.1p config cos mapping port 25-28 port_mapping ethernet 802.1p ip dscp # MIRROR disable mirror config mirror port 1 delete source ports 1 both # BANDWIDTH config bandwidth_control 1-28 rx_rate no_limit tx_rate no_limit # SYSLOG disable syslog config log_save_timing on_demand # TRAF-SEGMENTATION config traffic_segmentation 1-28 forward_list 1-28 # PACKET_FROM_CPU config mgmt_pkt_priority default # SSL disable ssl enable ssl ciphersuite RSA_with_RC4_128_MD5 enable ssl ciphersuite RSA_with_3DES_EDE_CBC_SHA enable ssl ciphersuite DHE_DSS_with_3DES_EDE_CBC_SHA enable ssl ciphersuite RSA_EXPORT_with_RC4_40_MD5 config ssl cachetimeout 600 # PORT config ports 1-28 speed auto flow_control disable state enable clear_description config ports 1-28 learning enable config ports 1-28 mdix auto config ports 25-26 medium_type fiber speed auto flow_control disable state enable clear_description config ports 25-26 medium_type fiber learning enable # OAM # DDM config ddm trap disable config ddm log enable config ddm ports 25-26 state enable shutdown none # TIME_RANGE # GM config sim candidate disable sim config sim dp_interval 30 config sim hold_time 100 # MANAGEMENT enable snmp traps enable snmp authenticate traps enable snmp linkchange_traps config snmp linkchange_traps ports all enable config snmp coldstart_traps enable config snmp warmstart_traps enable disable rmon # SNMPv3 delete snmp community public delete snmp community private delete snmp user initial delete snmp group initial delete snmp view restricted all delete snmp view CommunityView all delete snmp group public delete snmp group private delete snmp group ReadGroup delete snmp group WriteGroup config snmp engineID 800000ab031caff77d6443 create snmp view restricted 1.3.6.1.2.1.1 view_type included create snmp view restricted 1.3.6.1.2.1.11 view_type included create snmp view restricted 1.3.6.1.6.3.10.2.1 view_type included create snmp view restricted 1.3.6.1.6.3.11.2.1 view_type included create snmp view restricted 1.3.6.1.6.3.15.1.1 view_type included create snmp view CommunityView 1 view_type included create snmp view CommunityView 1.3.6.1.6.3 view_type excluded create snmp view CommunityView 1.3.6.1.6.3.1 view_type included create snmp group public v1 read_view CommunityView notify_view CommunityView create snmp group public v2c read_view CommunityView notify_view CommunityView create snmp group initial v3 noauth_nopriv read_view restricted notify_view restricted create snmp group private v1 read_view CommunityView write_view CommunityView notify_view CommunityView create snmp group private v2c read_view CommunityView write_view CommunityView notify_view CommunityView create snmp group ReadGroup v1 read_view CommunityView notify_view CommunityView create snmp group ReadGroup v2c read_view CommunityView notify_view CommunityView create snmp group WriteGroup v1 read_view CommunityView write_view CommunityView notify_view CommunityView create snmp group WriteGroup v2c read_view CommunityView write_view CommunityView notify_view CommunityView create snmp community private view CommunityView read_write create snmp community public view CommunityView read_only create snmp user initial initial # DEBUG_HANDLER debug config error_reboot enable # VLAN disable asymmetric_vlan disable qinq config vlan default delete 1-28 config vlan default advertisement disable create vlan 101 tag 101 config vlan 101 add tagged 25-28 config vlan 101 add untagged 1 create vlan 1999 tag 1999 config vlan 1999 add tagged 25-28 disable gvrp config gvrp 1 state disable ingress_checking enable acceptable_frame admit_all pvid 101 config gvrp 2-28 state disable ingress_checking enable acceptable_frame admit_all pvid 1 # 8021X disable 802.1x config 802.1x auth_protocol radius_eap config radius parameter timeout 5 retransmit 2 config 802.1x capability ports 1-28 none config 802.1x auth_parameter ports 1-28 direction both port_control auto quiet_period 60 tx_period 30 supp_timeout 30 server_timeout 30 max_req 2 reauth_period 3600 enable_reauth disable # PORT_LOCK disable port_security trap_log config port_security ports 1-28 admin_state disable max_learning_addr 1 lock_address_mode DeleteOnTimeout # PPPOE config pppoe circuit_id_insertion state disable config pppoe circuit_id_insertion ports 1-28 state enable circuit_id ip # DhcpSS config filter dhcp_server ports 1-28 state disable config filter dhcp_server trap_log disable config filter dhcp_server illegal_server_log_suppress_duration 5min # MAC_ADDRESS_TABLE_NOTIFICATION config mac_notification interval 1 historysize 1 disable mac_notification config mac_notification ports 1-28 disable # STP disable stp config stp version rstp config stp maxage 20 maxhops 20 forwarddelay 15 txholdcount 6 fbpdu enable hellotime 2 lbd enable lbd_recover_timer 60 config stp priority 32768 instance_id 0 config stp mst_config_id name 00:1E:58:48:8D:CB revision_level 0 config stp trap new_root enable topo_change enable config stp ports 1-28 externalCost auto edge false p2p auto state enable lbd disable config stp mst_ports 1-28 instance_id 0 internalCost auto priority 128 config stp ports 1-28 fbpdu enable config stp ports 1-28 restricted_role false config stp ports 1-28 restricted_tcn false # MULTI FILTER config control_pkt ipv4 igmp replace priority none dscp none config control_pkt ipv4 vrrp replace priority none dscp none config control_pkt ipv4 rip replace priority none dscp none config control_pkt ipv4 pim replace priority none dscp none config control_pkt ipv4 dvmrp replace priority none dscp none config control_pkt ipv4 ospf replace priority none dscp none config control_pkt ipv6 mld replace priority none dscp none config control_pkt ipv6 nd replace priority none dscp none config max_mcast_group port 1-28 max_group 256 # BPDU_PROTECTION config bpdu_protection ports 1-28 mode shutdown # SAFEGUARD_ENGINE config safeguard_engine state disable utilization rising 30 falling 20 trap_log disable mode fuzzy # BANNER_PROMP config command_prompt default config greeting_message default # SSH config ssh algorithm 3DES enable config ssh algorithm AES128 enable config ssh algorithm AES192 enable config ssh algorithm AES256 enable config ssh algorithm arcfour enable config ssh algorithm blowfish enable config ssh algorithm cast128 enable config ssh algorithm twofish128 enable config ssh algorithm twofish192 enable config ssh algorithm twofish256 enable config ssh algorithm MD5 enable config ssh algorithm SHA1 enable config ssh algorithm RSA enable config ssh algorithm DSA enable config ssh authmode password enable config ssh authmode publickey enable config ssh authmode hostbased enable config ssh server maxsession 8 config ssh server contimeout 120 config ssh server authfail 2 config ssh server rekey never config ssh user root authmode password config ssh user techsup authmode password disable ssh # SNOOP enable igmp_snooping config igmp_snooping data_driven_learning max_learned_entry 128 enable igmp_snooping multicast_vlan create igmp_snooping multicast_vlan v100 100 config igmp_snooping multicast_vlan v100 state enable config igmp_snooping multicast_vlan v100 replace_source_ip 10.11.106.1 config igmp_snooping multicast_vlan v100 add member_port 1 config igmp_snooping multicast_vlan v100 add tag_member_port 26-28 config igmp_snooping multicast_vlan v100 add source_port 25 config igmp_snooping vlan_name default host_timeout 260 router_timeout 260 leave_timer 2 state disable fast_leave disable config igmp_snooping data_driven_learning vlan_name default aged_out disable config igmp_snooping data_driven_learning vlan_name default state enable config igmp_snooping querier all query_interval 125 max_response_time 10 robustness_variable 2 last_member_query_interval 1 state disable config igmp_snooping vlan_name v100 host_timeout 260 router_timeout 260 leave_timer 2 fast_leave enable config igmp_snooping data_driven_learning vlan_name v100 aged_out enable config igmp_snooping data_driven_learning vlan_name v100 state enable config igmp_snooping vlan_name 101 host_timeout 260 router_timeout 260 leave_timer 2 state disable fast_leave disable config igmp_snooping data_driven_learning vlan_name 101 aged_out disable config igmp_snooping data_driven_learning vlan_name 101 state enable config igmp_snooping vlan_name 1999 host_timeout 260 router_timeout 260 leave_timer 2 state disable fast_leave disable config igmp_snooping data_driven_learning vlan_name 1999 aged_out disable config igmp_snooping data_driven_learning vlan_name 1999 state disable config igmp access_authentication port 1-28 state disable config cpu_filter l3_control_pkt 1-28 all state disable # FDB config fdb aging_time 300 config multicast port_filtering_mode 1 filter_unregistered_groups config multicast port_filtering_mode 2-28 forward_unregistered_groups disable flood_fdb config flood_fdb log disable trap disable # VLAN_TRUNK disable vlan_trunk # SMTP disable smtp # ACL create access_profile ip destination_ip 255.255.0.0 dscp profile_id 4 config access_profile profile_id 4 add access_id 1 ip destination_ip 239.195.0.0 port 1-28 permit priority 5 rx_rate no_limit disable cpu_interface_filtering # SNTP disable sntp config time_zone operator - hour 6 min 0 config sntp primary 0.0.0.0 secondary 0.0.0.0 poll-interval 720 config dst disable # DOS_PREVENTION enable dos_prevention trap_log config dos_prevention dos_type land_attack action drop state enable config dos_prevention dos_type blat_attack action drop state enable config dos_prevention dos_type smurf_attack action drop state enable config dos_prevention dos_type tcp_null_scan action drop state enable config dos_prevention dos_type tcp_xmascan action drop state enable config dos_prevention dos_type tcp_synfin action drop state enable config dos_prevention dos_type tcp_syn_srcport_less_1024 action drop state disable # LACP config lacp_port 1-28 mode passive config link_aggregation algorithm mac_source # ERPS config erps log disable disable erps # ADDRBIND disable address_binding dhcp_snoop disable address_binding trap_log config address_binding ip_mac ports 1-28 state disable allow_zeroip disable forward_dhcppkt enable config address_binding ip_mac ports 1-28 mode arp stop_learning_threshold 500 config address_binding dhcp_snoop max_entry ports 1-28 limit 5 # ARPSPOOF # IP config ipif System vlan 1999 ipaddress 10.11.106.1/24 state enable config ipif System dhcp_option12 state disable enable telnet 23 enable web 80 disable autoconfig # LLDP disable lldp config lldp message_tx_interval 30 config lldp tx_delay 2 config lldp message_tx_hold_multiplier 4 config lldp reinit_delay 2 config lldp notification_interval 5 config lldp ports 1-28 notification disable config lldp ports 1-28 admin_status tx_and_rx # MLDSNP disable mld_snooping # ARP config arp_aging time 20 config gratuitous_arp send ipif_status_up enable config gratuitous_arp send dup_ip_detected enable config gratuitous_arp learning enable # AAA config authen_login default method local config authen_enable default method local_enable config authen application console login default config authen application console enable default config authen application telnet login default config authen application telnet enable default config authen application ssh login default config authen application ssh enable default config authen application http login default config authen application http enable default config authen parameter response_timeout 30 config authen parameter attempt 3 disable authen_policy config admin local_enable # DHCP_RELAY disable dhcp_relay config dhcp_relay hops 4 time 0 config dhcp_relay option_82 state disable config dhcp_relay option_82 check disable config dhcp_relay option_82 policy replace config dhcp_relay option_82 remote_id default # DHCP_LOCAL_RELAY disable dhcp_local_relay config dhcp_local_relay option_82 ports 1-28 policy keep # FIRM config configuration trap save disable upload disable download disable # ROUTE create iproute default 10.11.106.254 1 #------------------------------------------------------------------- # End of configuration file for DES-3028 #------------------------------------------------------------------ DES-3028:5# А еще например ping_death атаку коммутатор считает, когда пингуешь его самого от 1500 байт. Стало непонятно, потому что остальные "защиты" защищают не только сам свич, о чем собственно вы и говорите задавая вопросы про его СР и сервисы связанные с абонентом, что логично. А их нет) Ну если снупинг не считать. Так оно и без снупинга хакерится хорошо. А при ping_death это распространяется только на коммутатор. Т.е. после включения я перестаю пинговать свич по управлению на 1500 байт, а хосты между собой пингуются.
  12. @dvb2000 я понимаю. И даже не спорю с этим) Я сначала написал много. Потом все стер. Вопщем я закончил лабу) ПС: Это транзитный свич* в схеме : хост(хакер) - свич - свич* - свич - хост(ноут) Тут не сотка, потому что инерция мониторинга 1мин. На самом деле по консоли процессор скакал и до 90%. ЦПУ занят был просто свичингом этого несчастного флуда, который да, как тут много раз говорили вообще не связан ни с одним сервисом у абонентов. Хотя я вообще ждал что он по управлению отвалится, а он ок, попукивал но работал. Что же имел ноут в лабе, который "не имел" никаких сервисов с коммутатором? Так всё. Джиттер, потери пакетов, я даже мультикаст на него завернул чтоб тв рассыпалось, все было)) В лабе два хоста можно сказать, если не считать роутер, который я использовал для доступа наружу, потому что не хотелось это дело вываливать в реальную сеть. Дальше можно да, по настоящему, распределенно..хакеров 20 воткнуть. Но зачем. Я же знаю что будет) Ну и самое главное. Выше график цпу под нагрузкой 50-55мбит итого более чем за неделю и (самый сок) хакерское направление: и туда, и обратно =) Такой же коммутатор, но забитый 24 портами со среднестатистической нагрузкой 150мбит коммутирует на 45% цпу. Представьте, что транзитный свич это агрегация. Я тогда еще раз спрошу, а точно ли достаточно это закрывать только у бордера? Конфиг свича скидывать? Не знаю только зачем. Там три влана: ноут, хакер и управление. Лупбэки, шторм контрол, кос для игмп включено. ПС2: в начале недели пришла забавная мысль, мол что будет, если бы это была не звезда, а кольцо. И там включить STP......
  13. Так флудом этим. И что значит зачем. Если я могу, значит автоматически такая возможность есть у любого. Нафига это? Именно за этим лабы и собирают вроде. Ладно, проехали. Сам разберусь...
  14. Так он не кладет его) Серево дальше порта летит гораздо меньше. А не до пункта назначения по всем свичам. Я ж сказал, выключить dos_pre то пожалуйста, вперед. По крайней мере у длинка. Немного похоже на поведение HOL функционала, хоть там и не такой план, но все равно. Если траф покрашен, но его шибко дофига в очереди на коммутаторе с мелким буфером, то HOL это будет "фиксить", если можно так сказать. Но тоже недоконца. Если выключить HOL, то все что работало более менее сносно - станет жутко тормозить. Это кстати мне немного непонятно. Но это офтоп уже. Хотя как раз может у них одинаковая легенда обработки таких штук, у разработчиков этого железа в смысле. Вопщем в принципе с dos_pre почти так же. Если его выключить, я положу свич. Если включить, то он пыхтит и не ложится.