Regressor
Пользователи-
Публикации
28 -
Зарегистрирован
-
Посещение
-
DLink окончательно задолбал. Подскажите альтернативу...
тему ответил в Regressor пользователя Regressor в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Ну к слову сказать внутри порта на этом железе у нас ни одного случая не было с кольцами. А loop detection вполне нормально справляется с кольцами за портом. -
DLink окончательно задолбал. Подскажите альтернативу...
тему ответил в Regressor пользователя Regressor в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
В общем тут вопросы задают в личку как все это сделано. Отослал личкой и выложу в теме если кому надо. У меня облегчалки в виде source_ip_mask не используются - все в виде hex-чисел (шестнадцатиричная система исчисления). Числа эти пишутся с префиксом 0x - например 1 = 0x0001, 10 = 0x000a, 34952 = 0x8888, 43704 = 0xAAB8. Правила генерятся перловым скриптом по данным из базы поэтому они в принципе легко не читаемы. Да их на коммутаторах никто и не читает. Есть соответствующая страничка в NMS. Коммутаторы у нас DES-3550/3526 по большей части (на других длинках не пробовал, но должно работать везде где есть packet content filtering). Там прежде чем генерить правила, надо сначала создать профили packet_content_mask с соответствующим ID - т.е. этими профилями с помощью битовых масок определить те части пакета, которые контролируются правилами (указать коммутатору какие именно байты мы будем проверять в правилах). Затем дальше на созданные профили с помощью config access_profile создаются правила разрешающие или запрещающие пакеты с определенным содержимым. Я в начале темы привел пример правил для одного порта с одним адресом. Ниже с более подробными комментариями и полностью написанными правилами. Можно и больше адресов на порт - у нас кое-где используеться 4-5 адресов на порт (напихали народу с компами столько, что даже норм скс мало оказалось), надо просто на профили 6/7 (пункты 2 и 4) добавить соответствующие правила. 1. Создается профиль 6, с масками для ethernet пакета на поля frame_type (16-17 байты фрейма) и arp_source_ip (байты 32-35, смотрим строение ARP пакета), те биты что проверяются = 1. Соответственно если надо проверить 2 байта начиная с 16, то там 0xFFFF create access-profile packet_content_mask offset_16-31 0xFFFF0000 0x0 0x0 0x0 offset_32-47 0xFFFFFFFF 0x0 0x0 0x0 prof 6 2. На профиль 6 навешивается правило, разрешающее прохождение пакета с типом hex 0x806 (ARP) и адресом 10.10.10.8 (hex 0x0a0a0a08) на порту 3 config access-profile profile_id 6 add access_id auto packet offset_16-31 0x08060000 0x0 0x0 0x0 offset_32-47 0x0A0A0A08 0x0 0x0 0x0 port 3 permit 3. Создать профиль 7 с масками для контроля типа фрейма (на 16-17 байтах ethernet-пакета как в предыдущем профиле) и поля source_ip (см строение IP фрейма, не забываем про ethernet заголовок). Source_ip в правилах оказывается разбит на 2 числа. Бывает. Скрипту пофик. Можно конечно использовать полуготовый профиль длинка, но я как-то не стал их мешать с packet_content_mask create access-profile packet_content_mask offset_16-31 0xFFFF0000 0x0 0x0 0x0000FFFF offset_32-47 0xFFFF0000 0x0 0x0 0x0 prof 7 4. На профиль 7 навешивается правило разрешающие IP пакеты (тип фрейма 0x0800 - IPv4) с адреса 10.10.10.8 (числа hex 0x00000a0a 0x0a080000) на порту 3. config access-profile profile_id 7 add access_id auto packet offset_16-31 0x08000000 0x0 0x0 0x0A0A offset_32-47 0x0A080000 0x0 0x0 0x0 port 3 permit 5. Создается профиль 8 с масками 0x0 - т.е. содержимое пакета не проверяется ибо не надо (все равно все что нужно уже разрешили, а остальное запрещаем). create access-profile packet_content_mask offset_0-15 0x0 0x0 0x0 0x0 profile_id 8 6. На профиль навешивается запрещающее все пакеты на порту 3 правило config access-profile profile_id 8 add access_id auto packet offset_0-15 0x0 0x0 0x0 0x0 port 3 deny 7. У меня в примере нет, но возможно потребуется на профилях 6/7 создать правила разрешающие отсылку IP/ARP пакетов с IP 0.0.0.0 (hex 0x00000000) - windows бывает использует при автоматическом получении адреса. На аплинках и портах, к которым подключены роутеры, запрещающее правило не нужно. З.Ы. Эта система фильтрации в длинках не что иное как прямой интерфейс к фильтровалке сетевого процессора свича с некоторыми логическими ограничениями. Очень и очень гибкая вещь - с ее помощью можно отфильтровать что угодно если знаешь строение пакетов. Странно, что циска, порой использующая такие же чипы в своем железе до такого не додумалась (стремление к унификации софта ? дак он у них и так ощутимо разный от модели к модели). Да в общем больше нигде такого не видел, почему и начал эту тему. З.З.Ы. Таки добыли мы два 3550 под честное слово, что заплатим (у этой компании 3552 на складе не было). Кризис миновал. Все .ля счастливы. -
DLink окончательно задолбал. Подскажите альтернативу...
тему ответил в Regressor пользователя Regressor в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Ну видимо на то и расчет - либо трастед, либо дхцп... -
DLink окончательно задолбал. Подскажите альтернативу...
тему ответил в Regressor пользователя Regressor в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Ну если не выйдет то так и сделаем - просто теперь что-то сделать на бюджетные денежки занимает совсем неприлично времени. Не меньше трех месяцев... У нас в основном 3550 и есть - про них то и речь. У нас пара вроде как с живыми ключами на phy но с мертвыми процессорами, и наоборот. Короче сегодня все и выяснится. Про подсказку спасибо - будем смотреть. -
DLink окончательно задолбал. Подскажите альтернативу...
тему ответил в Regressor пользователя Regressor в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
По уточненным данным умершим свичам по 5 с лишним лет :) У трех сдохли процессоры из-за пробитого стабилизатора. Стаб умер из-за кондеров. У остальных BCMы (сетевые процессоры) по той же причине. Пробуем сделать франкенштейна :) Походу у всех свичей этого возраста (старше 4 лет) надо преветивно менять кондеры. Доки по DAI скачал с циски, читал. Много думал. Обновил прошивку на ближайшей 3650 и долго и вдумчиво экспериментировал. По итогу выяснилось, что ip в чистом виде к порту на циске не привязывается к сожалению. -
DLink окончательно задолбал. Подскажите альтернативу...
тему ответил в Regressor пользователя Regressor в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Бред не бред - это вполне реальная ощутимая реальность. Коммутаторы стоят в шкафах. Шкафы висят в кабинетах. Температура внутри шкафа градусов 25-35 (там еще нетботz имеются) иногда кратковременно до 40. По питанию - APC 1000 бесперебойники. Наш ремонтник уже третий день пытается собрать из нескольких трупов хотя бы один живой. -
DLink окончательно задолбал. Подскажите альтернативу...
тему ответил в Regressor пользователя Regressor в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Попробовал. Как-то DAI не вставило. А можно тоже самое, но с перламутровыми пуговицами без привязки к MAC ? :) Вот если бы этот arp access-list можно было вешать на интерфейсы... Тогда бы висела на каждом порту конструкция из двух acl типа permit ip host 10.10.10.10 any/deny any any ; permit ip host 10.10.10.10 mac any/deny any any и было бы щастье. DHCP пока к сожалению не вариант. В будущем все будет переделано по человечески, а железо надо заказывать уже щас. Так что остается DES-3552 -
DLink окончательно задолбал. Подскажите альтернативу...
тему ответил в Regressor пользователя Regressor в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Дак яж написал что именно надо. Надо очень простого - адреса статикой, vlan-per-user не подходит, арпы фильтровать, ip фильтровать. Мне как-то не улыбается уже имеющуюся неплохо работающую систему перекраивать под новое ограниченное железо. Я ищу железо, подходящее под мои требования. С эпидемиями арп-вируса сталкивались трижды. Пользователи в сегменте с больной машиной работать нормально не могли, пока ее не блокировали. Тогда я сел и написал скрипт, забивающий фильтры в свичи. Больше таких проблем не было. IP Source Guard вообще говоря блокирует только ip трафик. Кстати циска умеет резать всякие ipx-ы кроме фреймов 0x800 и 0x806 (mac acl). Ладно, я уже понял, что ничего похожего нету. Будем дальше грызть кактус... P.S. А правильная организация сети это при неслабом межпользовательском трафике гнать все вланами через маршрутизатор вместо того чтобы зарезать все на доступе ? -
DLink окончательно задолбал. Подскажите альтернативу...
тему ответил в Regressor пользователя Regressor в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Тем не менее ARP пакеты с чужим IP будут ходить поскольку arp это не ip. ipx по идее тоже (не проверял) и первый же arp-вирус устроит в этом сегменте тотальный трындец. -
DLink окончательно задолбал. Подскажите альтернативу...
тему ответил в Regressor пользователя Regressor в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Перечисление моделей это хорошо, вот только я в доках по циске нигде не нашел что она умеет по содержимому пакета фильтровать. Да хрен с ним с содержимым - пускай хотя бы обеспечила каким либо способом чтобы с порта пользовательского ничего кроме ip и arp с разрешенным IP не уходило. Чтобы к примеру arp-вирус жестоко обломался, пользователь не мог чужой адрес присвоить, ipx и прочие прелести резались и т.п. Обычный ACL умеет только ip протоколы резать. Конструкция mac acl поле исходящего ip не поддерживает только мак и ethertype. Не было бы этой проблемы - давно бы уже везде циску поставили. -
DLink окончательно задолбал. Подскажите альтернативу...
тему ответил в Regressor пользователя Regressor в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Нашим от 4 лет до года.... Равномерно по возрасту размазаны.... -
DLink окончательно задолбал. Подскажите альтернативу...
тему ответил в Regressor пользователя Regressor в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Требования к бесперебойности работы довольно высокие, каждый такой случай отсутствия связи больше часа это серьезные проблемы с начальством. Свичи на замену вдруг резко кончились по причине массового падежа без возможности восстановления. Покупка новых в госорганизации с конкурсом занимает дикое количество времени. Блоки питания практически на всех этих железках перепаяны и заменены (меняют на месте). Если бы вы внимательно читали мое сообщение, вы бы заметили, что дело уже не в 3 конденсаторах блока питания. Тут уже дохнут в массовом порядке стабилизаторы на мат.плате (опухают кондеры и следом за ними летят ключи и собственно сам стабилизатор). Это все заменить и перепаять уже не минутное дело (при наличии запчастей конечно). Но с этим тоже справлялись до поры до времени пока не началась новая напасть - свитч при запуске ругается на ошибку инициализации bcm: _bcm_sdk_init() Number 5 CP0 REGISTERS: BadVAddr: 0x00000000 Status: 0x00000000 Cause: 0x00000000 EPC: 0x00000000 PRID: 0x00000000 REGISTERS: r0: 0x00000000 r1: 0x00000000 r2: 0x00000000 r3: 0x00000000 r4: 0x00000000 r5: 0x00000000 r6: 0x00000000 r7: 0x00000000 r8: 0x00000000 r9: 0x00000000 r10: 0x00000000 r11: 0x00000000 r12: 0x00000000 r13: 0x00000000 r14: 0x00000000 r15: 0x00000000 r16: 0x00000000 r17: 0x00000000 r18: 0x00000000 r19: 0x00000000 r20: 0x00000000 r21: 0x00000000 r22: 0x00000000 r23: 0x00000000 r24: 0x00000000 r25: 0x00000000 r26: 0x00000000 r27: 0x00000000 r28(gp): 0x00000000 r29(sp): 0x00000000 r30(fp): 0x00000000 r31(ra): 0x00000000 !! System in EXCEPTION MODE !!! PAUSE System Exception: Pause source code : 5 Current Task: STARTUP Current Stack Pointer : 8170ACB0 Перепрошивка не помогает. Проблема судя по тенденции будет массовой. Решению не поддается. Неживые судя по трейсу bcm5646 купить и перекатать не представляется возможным (Или может кто знает место где их купить можно ?). Поскольку свичи эти уже раза по 3 чинились нашим сервисником - в сервисе длинка нас пошлют, либо ремонт будет стоить как новый свитч. Покупать новые той же фирмы как-то желание отпало. Совсем... Или кто-то считает всего вышеперечисленного для этого недостаточно ? Цисок кстати в сетке имеется где-то пару десятков. Не дохли НИ РАЗУ (это к вопросу о мифах). Самой старой лет 5. Имеются также экстримы 3 уровня - проблема только с одним была (выгорели оба гигабитных порта). Про глюки БП _определенной партии_ сказки можете рассказывать в другом месте - у нас проблемы одинаковые как с 3526 так и с 3550. Причем как на старых с коричневыми мордами, так и на новых с серебристыми. На них на всех БП одинаковые. Мы сдохший БП уже за проблему не считаем - тупо меняется на запасной на месте. Электросеть - как у всех (скачет и прыгает). P.S. Я так и предполагал, что тут же налетят любители DLink и закидают меня какашками. Неужели нельзя либо промолчать либо ответить по сути вопроса ? Нет альтернативы - значит будем дальше жевать кактус :( Может новый (DES-3552) окажется не таким колючим. P.P.S. Написал ответ и увидел последнее сообщение. Я возможно невнимательно читал доки к циске. Не подскажете синтаксис команды на 2960, с помощью которой можно разрешить рабочей станции, подключенной к порту на этой циске отсылать ethernet фрейм 0x806 (arp) только с определенным ip-полем отправителя (политика "все запрещено", разрешено только то, что можно)? P.P.P.S. По софту если что меня длинки устраивают на 110%. Тем более, что разработчики на критику и предложения довольно живо реагируют. Нашел я в коде бэкдор пароли - отослал гневное письмо разработчикам - убрали (и довольно шустро). Пожаловался на то, что свитч на вебморде пишет свою модель и что это небезопасно - убрали. Попросил добавить настраиваемое приглашение в telnet - сделали. Правда возможность создавать несколько ip-интерфейсов (без маршрутизации) так и не добавили (фича уже есть в коде, надо только 1 бит подправить). А вот железо... :((( Эх... -
Здравствуйте. Суть проблемы в следующем: имеется пара сотен свичей доступа. Практически все - DLink 3550/3526 (когда все это затевалось жутко экономили и видимо зря). На многих из этих коммутаторов реализована привязка port-ip. Т.е. на каждом рабочем месте разрешен только свой IP. Сделано это при помощи ACL по содержимому пакета. Вот примерно так: # Разрешить фреймы 0x0806 с исход. разрешенным ip на 3 порту (0x0806 - ARP) # cr access packet offset_16-31 0xFFFF0000 0x0 0x0 0x0 offset_32-47 0xFFFFFFFF 0x0 0x0 0x0 prof 6 # co access profile_id 6 add access_id auto packet offset_16-31 0x08060000 0x0 0x0 0x0 offset_32-47 0x0A0A0A0A 0x0 0x0 0x0 port 3 permit # # Разрешить фреймы 0x0800 с исход. разрешенным ip на 3 порту (0x0800 - IPv4) # cr access packet offset_16-31 0xFFFF0000 0x0 0x0 0x0000FFFF offset_32-47 0xFFFF0000 0x0 0x0 0x0 prof 7 # co access profile_id 7 add access_id auto packet offset_16-31 0x08000000 0x0 0x0 0x0A0A offset_32-47 0x0A0A0000 0x0 0x0 0x0 port 3 permit # # Запретить все остальные фреймы # create access packet offset_0-15 0x0 0x0 0x0 0x0 profile_id 8 # config access profile_id 8 add access_id auto packet offset_0-15 0x0 0x0 0x0 0x0 port 3 deny Правила генерируются автоматически скриптом из базы и заливаются так же автоматически на свичи. Для аплинков и роутеров правила не задаются. Но эти длинк железки при всех своих достоинствах имеют один громадный недостаток - они дохнут пачками постоянно. Сначала мы запарились менять на них блоки питания и перепаивать на них кондеры. Лежит штук пять резервных - их меняют уже с закрытыми глазами. Потом они начали дохнуть по второму кругу - кондеры стабилизатора на основной плате и полевики. Ремонтник наш их тоже уже с закрытыми глазами перепаивает. Теперь новая напасть - при загрузке высыпается в ошибку, пишет трейс в консоли и затихает. Таких уже с десяток. Свичи живут в нормальных условиях - температура, влажность в порядке. Кстати у нас до сих пор работает пара DES-3624 и ничего им не делается - делали же блин раньше. Поскольку с бюджетом щас гораздо лучше я пошел смотреть циски. Вот только упомянутые выше фортеля с ACL они не умеют (или я неправ ?). Вопрос в следующем: какие L2 свичи доступа умеют acl по содержимому пакета и при этом достаточно надежны в работе ?
-
"Аппаратный" биллинг.
тему ответил в Uncertainty пользователя Regressor в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Ну вот ifconfig... интерфейсы Defaul_xx, LEaps_xx, LibIn_xx - интерфейсы на пользовательских вланах... Остальные - хрен его знает... Broadcom Link encap:Ethernet Broadcom Link encap:Ethernet HWaddr 00:04:96:20:AE:C8 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) Defau_F4244 Link encap:Ethernet Defau_F42 Link encap:Ethernet HWaddr 00:04:96:20:AE:C8 inet addr:10.10.100.xx Bcast:10.10.100.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:21929967 errors:0 dropped:0 overruns:0 frame:0 TX packets:6669475 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:1470805267 (1.3 GiB) TX bytes:372312378 (355.0 MiB) Defau_F4244:2 Link encap:Ethernet Defau_F42 Link encap:Ethernet HWaddr 00:04:96:20:AE:C8 inet addr:195.xxx.xxx.xxx Bcast:195.xxx.xxx.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 LEaps_F424C Link encap:Ethernet LEaps_F42 Link encap:Ethernet HWaddr 00:04:96:20:AE:C8 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:8100320 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 B) TX bytes:891035200 (849.7 MiB) LibIn_F4247 Link encap:Ethernet LibIn_F42 Link encap:Ethernet HWaddr 00:04:96:20:AE:C8 inet addr:10.10.149.1 Bcast:10.10.149.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:4418553 errors:0 dropped:0 overruns:0 frame:0 TX packets:3604527 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:441970957 (421.4 MiB) TX bytes:196871267 (187.7 MiB) eth0 Link encap:Ethernet eth0 Link encap:Ethernet HWaddr 00:04:96:20:AE:C8 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) Interrupt:19 Base address:0x4000 intVla_100000 Link encap:Ethernet intVla_10 Link encap:Ethernet HWaddr 00:04:96:20:AE:C8 inet addr:10.0.1.2 Bcast:0.0.0.0 Mask:255.0.0.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) lo Link encap:Local Loopback lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) lo1 Link encap:Local Loopback lo1 Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:16199822 errors:0 dropped:0 overruns:0 frame:0 TX packets:16199822 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:2332774368 (2.1 GiB) TX bytes:2332774368 (2.1 GiB) lo2 Link encap:Local Loopback lo2 Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) netTx Link encap:Ethernet netTx Link encap:Ethernet HWaddr 00:04:96:20:AE:C8 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:38473926 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:3437193529 (3.2 GiB) TX bytes:0 (0.0 B) pimreg_2 Link encap:UNSPEC pimreg_2 Link encap:UNSPEC HWaddr 00-01-00-00-00-80-00-00-00-00-00-00-00-00-00-00 UP RUNNING NOARP MTU:1472 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) -
Диагностика кабеля и коммутаторы
тему ответил в khds пользователя Regressor в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Дорогие модульные модели Extreme Networks такую фичу имеют...