DyadyaGenya
-
Публикации
57 -
Зарегистрирован
-
Посещение
Сообщения, опубликованные пользователем DyadyaGenya
-
-
Запишитесь на курсы CCNA, там подобные вещи разжёвывают. Если в двух словах, то кол-ва мусора растёт нелинейно от кол-во узлов в одном широковещательном домене.
про рост мусора я как бы знаю, но не вижу видимых причин как это может в конкретной ситуации помочь вычислить откуда береться флуд пппое пакетов? предположим я его поставлю на агрегацию вместо НР и там так же будет бегать по портам флудящий мак. я уже говорил что бороться можно запретив все чужие пппле пакеты или чужие дхцп, а вот как источник выявить?
-
broadcast storm control включать не пробовали ? Попробуйте включить на абонентских потах в минимально возможное значение. Ещё можно попробовать рисовать графики с портов в т.ч. графики броадкастовых pps. Если это возможно, то по графикам найдёте источник :-).
это наверно первое что я научился делать на управляемых свичах :-) конечно включент на миним размер, ничего страшного не показывает. График не думал рисовать, но возможно попробую. Правда для этого опять придеться отключать защиту от левых пппое серваков, а это опять приведет к проблемам, и не факт что рисуя графики что то найду
После прочтения топика по диагонали возникло ощущение, что ТС не хватает L3 в сети.
а чем он поможет?
-
По моему микротик здесь лишний. Надо было сделать все это на свитче прова...
ну тогда пример подробнее плз
-
Опубликовано · Изменено пользователем DyadyaGenya · Жалоба на ответ
Лучше читайте внимательно инструкцию от конкретной модели, на несколько раз, чем тут гадать что они там имели ввиду.
Рад бы почитать, да на новые Длинки нет инструкции, в суппорте тоже внятно не говорят. Я потму и спрашивал что есть надежда на то что кто то уже испытал.
..по поводу правильности понимания локал и просто прокси арп...забейте.
когда все или много в одном влане начинаются чудесатости.
потом окажется что дешевле влан на абонента / дом - чем вылавливать проблемы. например тут
ради посмотреть - циска 3550 - отрабатывала весьма достойно.
а чтоб работало, то без нормального доступа с ацл не обойтись.
ну как же? есть ведь примеры нормальной работы такой схемы, вот тут описано
И кстати, никто от тех же ацл не думает отказываться
-
Во первых, рекомендую сменить эториал на более свежую версию Wireshark (тоже самое только поновее да почувствительнее). Во вторых, не понятна технология тестирования, какие пакеты сыплються на длинке? какие маки светяться? маки с базой сверяли? где ещё такие пакеты бывают? откуда такая уверенность что нет кольца? (то что типа отсутствуют дуплеты и триплеты это не показатель). Инет как раздаете, PPPOE? или ещё как то? конечно лучше поставить Л2 на проблемный участок чтоб лучше мониторить, хотя бы временно.
-
И даже больше, когда вы всё лишнее зафильтруете, можно будет этим заниматся, достаточно выставлять ethe_type как пппое, потому как у вас коммутаторы пропускают эти пакеты не смотря на адрес назначения, который в суровых условиях должен быть маком вашего пппое сервера.
ну а если я ацл написал чтоб все левые пппое пакеты рубило и пропускало только с маком моего сервера? неужели и тогда будет пропускать? я кстати так и сделал, после чего флуд прекращается, хотя может опять же не правильно проверял. Правда есть ещё один способ как этот конкретный флуд запретить, это запрет вссех левых дшсп пакетов даже на аплинках. я пробовал и тот и тот способ работают по отдельности друг от друга
-
В качестве старта возьмите вот это http://en.wikipedia.org/wiki/List_of_network_protocols . Но нужно понимать, что современные коммутаторы называются L2+, а вот насколько они плюс при самом свитчинге это уже зависит от навороченности чипа.
на вскидку не подскажите какие из л3 могут быть использованы в зловредных целях? пппое я уже понял, можно и раздачу устроить с использованием вашей сети и флуд устроить
-
Опубликовано · Изменено пользователем DyadyaGenya · Жалоба на ответ
Судя по документации http://www.dlink.ru/up/uploads_media/FAQ_IP_MAC_Port_Binding.pdf вы просто защищаетесь от поддельного arp-трафика (arp_mode), при этом(как я понимаю) на ppp-трафик эта штука не действует. Соберите на тестовый стенд и проверьте, делов-то.
так я ж написал только что, что на пппое не действует, вернее действует специфически, соединение создается, в инет пинг идет по цифровым значением, имена не проходят
осталось только проверить как работает на НР
и кстати, если это так, то получается кто то специально или случайно стал раздавать в сеть пппое трафик скажем с роутера, потому и мака в базе нет, и кольца тогда получается нету
-
Опубликовано · Изменено пользователем DyadyaGenya · Жалоба на ответ
IP-MAC это связка L3-L2 адресов, где IP это всего лишь один из многих типов данных в L2 (эзернет) пакете. Будучи в вашей сети в одном л2 сегменте я могу с обоих сторон менять тип эзернет кадра на произвольный и он будет долетать до другого моего роутера в обход всех фильтров с привязкой к IP.
Иными словами, в pppoe, arp и сотнях других протоколов L3 - IP нет (те он там может быть в инкапсулированном виде) и они не отфильтруются "ip-mac-binding".
проверил ещё раз, действительно пропускает пакеты, соединение создается, но по именам зайти на сайты не может, проходит только пинг на сайт по цифровому значению. и даже в сети продолжает пинговать сетевые хосты
жаль не могу щас проверить тоже самое на НР
но почему ж тогда запрещенные маки в арп таблицах не светятся?
и если можно, то плз ссылку где почитать про L3 протоколы, так сказать весь список
-
Опубликовано · Изменено пользователем DyadyaGenya · Жалоба на ответ
DyadyaGenya
Вы напишите какие конкретно команды вы используете для "ip-mac-binding", а люди, разбирающиеся в длинках уже скажут, что они фильтруют - фреймы с L3==IP или любые L2-фреймы с заданным mac
не вопрос, для знающих людей пример команды:
enable address_binding arp_mode
enable address_binding trap_log
#show address_binding
create address_binding ip_mac ipaddress xxx.xxx.xxx.xxx macaddress yy-yy-yy-yy-yy-yy ports Z
config address_binding ip_mac ports Z state enable
config address_binding ip_mac ports Z Allow_zeroip enable
и никаких других команд никогда не используется. в свое время испытывал эту систему, может и не совсем правильно, но скажем пробовал собирать арп с разных свичей и с сервака, те маки что заблокированы биндингом нигде не всплывают, даже если смотреть динамик фдб. даже если компу не просвоили адрес, на него ни пппое, ни впн не подается, в арп таблицах нигде не светиться, только в списке заблокированых маков
для НР команды нужны?
IP-MAC это связка L3-L2 адресов, где IP это всего лишь один из многих типов данных в L2 (эзернет) пакете. Будучи в вашей сети в одном л2 сегменте я могу с обоих сторон менять тип эзернет кадра на произвольный и он будет долетать до другого моего роутера в обход всех фильтров с привязкой к IP.
Иными словами, в pppoe, arp и сотнях других протоколов L3 - IP нет (те он там может быть в инкапсулированном виде) и они не отфильтруются "ip-mac-binding".
вы такое пробовали? или это теория?
-
х.з. почему только через 3 порт... но если на заводской конфигурации, там есть правила в фаирволе, где закрыт только 1 порт.
резет обязательно жал, но все равно только через 3 порт
Так при первом включении после ресета он предлагает сбросить начальную конфигурацию. А вы наверно подтвердили ее.
в очередной раз нажад на резет и уже более внимательно посмотрел, действительно жал раньше на "ок" особо не разобравшись. Сейчас удалил конфиг и могу заходить через любой порт
-
Опубликовано · Изменено пользователем DyadyaGenya · Жалоба на ответ
еще один такой же и EoIP
Не знаю не знаю, сколько не читал про EoIP получается что будут потери в скорости. Но мне проще, потому что наш пров именно влнами связал нам ещё пару районов, которые имеют правда свои сервера (роутер и пппое) и одно направление только с роутером, который вланом прокидывает трафик на сервера и уже туда люди конектятся по пппое. Но там районы более перспективные, поэтому имело смысл ставить дополнительные серваки, а ту затрачивааться не имеет смысла, да и местом ограничены.
Да и чтоб настроить EoIP ещё один не нужен, его на фрях тоже поднять можно, по крайней мере наш главный админ так говорит
-
Ещё ни разу не встречал чтоба биндинг работал только скажем с пппое трафик, да и в описании этой функции везде пишут что дропает она все пакеты с не правильной парой, проверяли, пробовали настроить пппое с не правильной парой, так не пускает ни какой трафик в этом порту.
-
DyadyaGenya
Просто наличие мака на порту X коммутатора Z, к которому подключен коммутатор Y, но его отсутсвие на самом коммутаторе Y может объясняться тем, что на Y он не может изучиться(или затёрся другим) из-за конфликта мак-адресов
были у меня подозрения на этот счет, особенно с учетом того что на одной из веток есть дес-3028, но, потворюсь, такое колличество маков было всегда. Кроме того, если б это была проблема с хешем, то запрет чужих пппое не помог бы, а он помагает. Да и маки то неизвестно откуда беруться, их в базе нет, к адресам не привязываются, на портах почти везде настроен ip-mac-binding что по идее должно защитить от появления левых маков (естественно не защищены в первую очередь аплинковские порты и кое где юзерские, с тупариками за ним, ну и свичи на агрегации тоже без биндинга)
-
Опубликовано · Изменено пользователем DyadyaGenya · Жалоба на ответ
вот ссылка на рисонок, но наверно проще было нарисавать от руки :-) что то не нравиться мне как в визио рисует
при необходимости напишу какие адреса где используются,
вот результат команды ip firewall filter export, он фактически чистый, потому что решил сбросить все
[admin@MikroTik] >> ip firewall filter export # jan/02/1970 00:03:10 by RouterOS 4.11 # software id = XHYR-QME1 # /ip firewall filter add action=accept chain=input comment="default configuration" disabled=no \ protocol=icmp add action=accept chain=input comment="default configuration" \ connection-state=established disabled=no in-interface=ether1-gateway add action=accept chain=input comment="default configuration" \ connection-state=related disabled=no in-interface=ether1-gateway add action=drop chain=input comment="default configuration" disabled=no \ in-interface=ether1-gateway [admin@MikroTik] >>
-
Нет, имеется ввиду сколько всего мак-адресов у вас на коммутаторах доступа?
ниже 200 не опускается, но так всегда было, а проблемы только недавно появились
-
х.з. почему только через 3 порт... но если на заводской конфигурации, там есть правила в фаирволе, где закрыт только 1 порт.
резет обязательно жал, но все равно только через 3 порт
-
пока ставиться визио, ещё вопрос, почему то кроме как через 3 порт не хочет заходить на микротик. это так задумано или я не могу настроить?
-
Схему нарисуй, не совсем все ясно....
и прикрепить рисунок? а куда вылажить? на посторонний сайт?
-
К сожалению не было времени сюда заходить, появились другие проблемы, о кторых тоже написал на форуме, вот и не отвечал.
с этой проблемой я именно так и борюсь, сперваа стал запрещать мак который флудит, потом они стали меняться и я запретил все пппое, но так и не нашел откуда береться кольцо, и насколько это было вредительство. Странно то что даже при полном отключении двух веток в каждой продолжают бегать флудящие маки. Я уже сходил с ноутом на вторую ветку, где в агрегации стоит НР. Стоит отключить запрет ПППОЕ и через время флуд появляется везде на аплинковских портах. Но это не дело постоянно так дергать сеть. Может и не плохо писать правила против чужих пппое, но кольцо то от этого не денеться никуда, и причина его появления тже не выясниться, а в будущем может вылезти ещё каким нибудь боком
-
Пришлось столкнуться с новой задачей связать через магитсраль вышестоящего провайдера новый сегмент, так чтоб люди из новой сети (LAN3) получали из старой-главной (LAN1) адреса и инет по пппое, ну и желательно настроить прокси арп на роутере. Теоретически все просто, создать влн, пробросить через прова и распаковать его на новом сегменте с помощью какого то роутера, толи сервачок насроить толи роутер. Решил поставить роутер, выбрал микротик 750г, по описанию и по отзывам хорошая штука. На первый взгляд вроде простая в настройках. Но не получается. А время поджимает. Хотелось бы готовый алгоритм с командами, а ешё лучше конфиг, чтоб тупо залить на роутер :-)
-
Опубликовано · Изменено пользователем DyadyaGenya · Жалоба на ответ
имеется ввиду только на юзерских портах? строго по одной паре, есть правда пару где по две пары мак-айпи, и они арп таблице соответсвуют, никаких других, кроме статических нет, нет и в списке заблокированых. статических до 24 на комутатор.
мак блокирую легко, никто не звонит, опять же, когда блокирую, то флуд пропадает, но через время может появиться новый мак
-
ну правильно, я и смотрю, только вредоносные маки светяться только на палинковских портах, если б где то на порту доступа светились то все было бы понятно
-
Опубликовано · Изменено пользователем DyadyaGenya · Жалоба на ответ
DyadyaGenya
Кольцо может быть у абонента дома, а трафик приходит уже в один ваш порт, т.е. грубо говоря у абонента стоит свитч и 2 порта соединяется патчкорд
ну и как его вычислить? бегать отключать? и где бегать? на той ветке где агрегация на НР сделана или на дгс3120? и что самое обидное, мака то в базе такого нет
и если просто тупо порты соеденены пачкордом то получается что кто то специально это делает?
флуд pppoe в сети
в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Опубликовано · Изменено пользователем DyadyaGenya · Жалоба на ответ
если я правильно понимаю то зеркалировать можно и л2
тоже грешу на мыльницы, тем более что на той ветке откуда по идее идет флуд полно таких мыльниц у абонентов, и абоненты там очень "продвинутые" уже много от них намучался (ловил не единожды на раздаче своего же инета через свою сеть, но последний раз защитился биндингом и после того вроде перестали), ну а отловить можно было бы если логирование на свичах шло нормально, а так 1210-28 слбанько логи пишет, а так лупдетект конечно включен