Regressor

Ну к слову сказать внутри порта на этом железе у нас ни одного случая не было с кольцами. А loop detection вполне нормально справляется с кольцами за портом.

В общем тут вопросы задают в личку как все это сделано. Отослал личкой и выложу в теме если кому надо. У меня облегчалки в виде source_ip_mask не используются - все в виде hex-чисел (шестнадцатиричная система исчисления). Числа эти пишутся с префиксом 0x - например 1 = 0x0001, 10 = 0x000a, 34952 = 0x8888, 43704 = 0xAAB8. Правила генерятся перловым скриптом по данным из базы поэтому они в принципе легко не читаемы. Да их на коммутаторах никто и не читает. Есть соответствующая страничка в NMS. Коммутаторы у нас DES-3550/3526 по большей части (на других длинках не пробовал, но должно работать везде где есть packet content filtering). Там прежде чем генерить правила, надо сначала создать профили packet_content_mask с соответствующим ID - т.е. этими профилями с помощью битовых масок определить те части пакета, которые контролируются правилами (указать коммутатору какие именно байты мы будем проверять в правилах). Затем дальше на созданные профили с помощью config access_profile создаются правила разрешающие или запрещающие пакеты с определенным содержимым. Я в начале темы привел пример правил для одного порта с одним адресом. Ниже с более подробными комментариями и полностью написанными правилами. Можно и больше адресов на порт - у нас кое-где используеться 4-5 адресов на порт (напихали народу с компами столько, что даже норм скс мало оказалось), надо просто на профили 6/7 (пункты 2 и 4) добавить соответствующие правила. 1. Создается профиль 6, с масками для ethernet пакета на поля frame_type (16-17 байты фрейма) и arp_source_ip (байты 32-35, смотрим строение ARP пакета), те биты что проверяются = 1. Соответственно если надо проверить 2 байта начиная с 16, то там 0xFFFF create access-profile packet_content_mask offset_16-31 0xFFFF0000 0x0 0x0 0x0 offset_32-47 0xFFFFFFFF 0x0 0x0 0x0 prof 6 2. На профиль 6 навешивается правило, разрешающее прохождение пакета с типом hex 0x806 (ARP) и адресом 10.10.10.8 (hex 0x0a0a0a08) на порту 3 config access-profile profile_id 6 add access_id auto packet offset_16-31 0x08060000 0x0 0x0 0x0 offset_32-47 0x0A0A0A08 0x0 0x0 0x0 port 3 permit 3. Создать профиль 7 с масками для контроля типа фрейма (на 16-17 байтах ethernet-пакета как в предыдущем профиле) и поля source_ip (см строение IP фрейма, не забываем про ethernet заголовок). Source_ip в правилах оказывается разбит на 2 числа. Бывает. Скрипту пофик. Можно конечно использовать полуготовый профиль длинка, но я как-то не стал их мешать с packet_content_mask create access-profile packet_content_mask offset_16-31 0xFFFF0000 0x0 0x0 0x0000FFFF offset_32-47 0xFFFF0000 0x0 0x0 0x0 prof 7 4. На профиль 7 навешивается правило разрешающие IP пакеты (тип фрейма 0x0800 - IPv4) с адреса 10.10.10.8 (числа hex 0x00000a0a 0x0a080000) на порту 3. config access-profile profile_id 7 add access_id auto packet offset_16-31 0x08000000 0x0 0x0 0x0A0A offset_32-47 0x0A080000 0x0 0x0 0x0 port 3 permit 5. Создается профиль 8 с масками 0x0 - т.е. содержимое пакета не проверяется ибо не надо (все равно все что нужно уже разрешили, а остальное запрещаем). create access-profile packet_content_mask offset_0-15 0x0 0x0 0x0 0x0 profile_id 8 6. На профиль навешивается запрещающее все пакеты на порту 3 правило config access-profile profile_id 8 add access_id auto packet offset_0-15 0x0 0x0 0x0 0x0 port 3 deny 7. У меня в примере нет, но возможно потребуется на профилях 6/7 создать правила разрешающие отсылку IP/ARP пакетов с IP 0.0.0.0 (hex 0x00000000) - windows бывает использует при автоматическом получении адреса. На аплинках и портах, к которым подключены роутеры, запрещающее правило не нужно. З.Ы. Эта система фильтрации в длинках не что иное как прямой интерфейс к фильтровалке сетевого процессора свича с некоторыми логическими ограничениями. Очень и очень гибкая вещь - с ее помощью можно отфильтровать что угодно если знаешь строение пакетов. Странно, что циска, порой использующая такие же чипы в своем железе до такого не додумалась (стремление к унификации софта ? дак он у них и так ощутимо разный от модели к модели). Да в общем больше нигде такого не видел, почему и начал эту тему. З.З.Ы. Таки добыли мы два 3550 под честное слово, что заплатим (у этой компании 3552 на складе не было). Кризис миновал. Все .ля счастливы.

Ну видимо на то и расчет - либо трастед, либо дхцп...

Ну если не выйдет то так и сделаем - просто теперь что-то сделать на бюджетные денежки занимает совсем неприлично времени. Не меньше трех месяцев... У нас в основном 3550 и есть - про них то и речь. У нас пара вроде как с живыми ключами на phy но с мертвыми процессорами, и наоборот. Короче сегодня все и выяснится. Про подсказку спасибо - будем смотреть.

По уточненным данным умершим свичам по 5 с лишним лет :) У трех сдохли процессоры из-за пробитого стабилизатора. Стаб умер из-за кондеров. У остальных BCMы (сетевые процессоры) по той же причине. Пробуем сделать франкенштейна :) Походу у всех свичей этого возраста (старше 4 лет) надо преветивно менять кондеры. Доки по DAI скачал с циски, читал. Много думал. Обновил прошивку на ближайшей 3650 и долго и вдумчиво экспериментировал. По итогу выяснилось, что ip в чистом виде к порту на циске не привязывается к сожалению.

Бред не бред - это вполне реальная ощутимая реальность. Коммутаторы стоят в шкафах. Шкафы висят в кабинетах. Температура внутри шкафа градусов 25-35 (там еще нетботz имеются) иногда кратковременно до 40. По питанию - APC 1000 бесперебойники. Наш ремонтник уже третий день пытается собрать из нескольких трупов хотя бы один живой.

Попробовал. Как-то DAI не вставило. А можно тоже самое, но с перламутровыми пуговицами без привязки к MAC ? :) Вот если бы этот arp access-list можно было вешать на интерфейсы... Тогда бы висела на каждом порту конструкция из двух acl типа permit ip host 10.10.10.10 any/deny any any ; permit ip host 10.10.10.10 mac any/deny any any и было бы щастье. DHCP пока к сожалению не вариант. В будущем все будет переделано по человечески, а железо надо заказывать уже щас. Так что остается DES-3552

Дак яж написал что именно надо. Надо очень простого - адреса статикой, vlan-per-user не подходит, арпы фильтровать, ip фильтровать. Мне как-то не улыбается уже имеющуюся неплохо работающую систему перекраивать под новое ограниченное железо. Я ищу железо, подходящее под мои требования. С эпидемиями арп-вируса сталкивались трижды. Пользователи в сегменте с больной машиной работать нормально не могли, пока ее не блокировали. Тогда я сел и написал скрипт, забивающий фильтры в свичи. Больше таких проблем не было. IP Source Guard вообще говоря блокирует только ip трафик. Кстати циска умеет резать всякие ipx-ы кроме фреймов 0x800 и 0x806 (mac acl). Ладно, я уже понял, что ничего похожего нету. Будем дальше грызть кактус... P.S. А правильная организация сети это при неслабом межпользовательском трафике гнать все вланами через маршрутизатор вместо того чтобы зарезать все на доступе ?

Тем не менее ARP пакеты с чужим IP будут ходить поскольку arp это не ip. ipx по идее тоже (не проверял) и первый же arp-вирус устроит в этом сегменте тотальный трындец.

Перечисление моделей это хорошо, вот только я в доках по циске нигде не нашел что она умеет по содержимому пакета фильтровать. Да хрен с ним с содержимым - пускай хотя бы обеспечила каким либо способом чтобы с порта пользовательского ничего кроме ip и arp с разрешенным IP не уходило. Чтобы к примеру arp-вирус жестоко обломался, пользователь не мог чужой адрес присвоить, ipx и прочие прелести резались и т.п. Обычный ACL умеет только ip протоколы резать. Конструкция mac acl поле исходящего ip не поддерживает только мак и ethertype. Не было бы этой проблемы - давно бы уже везде циску поставили.

Нашим от 4 лет до года.... Равномерно по возрасту размазаны....

Требования к бесперебойности работы довольно высокие, каждый такой случай отсутствия связи больше часа это серьезные проблемы с начальством. Свичи на замену вдруг резко кончились по причине массового падежа без возможности восстановления. Покупка новых в госорганизации с конкурсом занимает дикое количество времени. Блоки питания практически на всех этих железках перепаяны и заменены (меняют на месте). Если бы вы внимательно читали мое сообщение, вы бы заметили, что дело уже не в 3 конденсаторах блока питания. Тут уже дохнут в массовом порядке стабилизаторы на мат.плате (опухают кондеры и следом за ними летят ключи и собственно сам стабилизатор). Это все заменить и перепаять уже не минутное дело (при наличии запчастей конечно). Но с этим тоже справлялись до поры до времени пока не началась новая напасть - свитч при запуске ругается на ошибку инициализации bcm: _bcm_sdk_init() Number 5 CP0 REGISTERS: BadVAddr: 0x00000000 Status: 0x00000000 Cause: 0x00000000 EPC: 0x00000000 PRID: 0x00000000 REGISTERS: r0: 0x00000000 r1: 0x00000000 r2: 0x00000000 r3: 0x00000000 r4: 0x00000000 r5: 0x00000000 r6: 0x00000000 r7: 0x00000000 r8: 0x00000000 r9: 0x00000000 r10: 0x00000000 r11: 0x00000000 r12: 0x00000000 r13: 0x00000000 r14: 0x00000000 r15: 0x00000000 r16: 0x00000000 r17: 0x00000000 r18: 0x00000000 r19: 0x00000000 r20: 0x00000000 r21: 0x00000000 r22: 0x00000000 r23: 0x00000000 r24: 0x00000000 r25: 0x00000000 r26: 0x00000000 r27: 0x00000000 r28(gp): 0x00000000 r29(sp): 0x00000000 r30(fp): 0x00000000 r31(ra): 0x00000000 !! System in EXCEPTION MODE !!! PAUSE System Exception: Pause source code : 5 Current Task: STARTUP Current Stack Pointer : 8170ACB0 Перепрошивка не помогает. Проблема судя по тенденции будет массовой. Решению не поддается. Неживые судя по трейсу bcm5646 купить и перекатать не представляется возможным (Или может кто знает место где их купить можно ?). Поскольку свичи эти уже раза по 3 чинились нашим сервисником - в сервисе длинка нас пошлют, либо ремонт будет стоить как новый свитч. Покупать новые той же фирмы как-то желание отпало. Совсем... Или кто-то считает всего вышеперечисленного для этого недостаточно ? Цисок кстати в сетке имеется где-то пару десятков. Не дохли НИ РАЗУ (это к вопросу о мифах). Самой старой лет 5. Имеются также экстримы 3 уровня - проблема только с одним была (выгорели оба гигабитных порта). Про глюки БП _определенной партии_ сказки можете рассказывать в другом месте - у нас проблемы одинаковые как с 3526 так и с 3550. Причем как на старых с коричневыми мордами, так и на новых с серебристыми. На них на всех БП одинаковые. Мы сдохший БП уже за проблему не считаем - тупо меняется на запасной на месте. Электросеть - как у всех (скачет и прыгает). P.S. Я так и предполагал, что тут же налетят любители DLink и закидают меня какашками. Неужели нельзя либо промолчать либо ответить по сути вопроса ? Нет альтернативы - значит будем дальше жевать кактус :( Может новый (DES-3552) окажется не таким колючим. P.P.S. Написал ответ и увидел последнее сообщение. Я возможно невнимательно читал доки к циске. Не подскажете синтаксис команды на 2960, с помощью которой можно разрешить рабочей станции, подключенной к порту на этой циске отсылать ethernet фрейм 0x806 (arp) только с определенным ip-полем отправителя (политика "все запрещено", разрешено только то, что можно)? P.P.P.S. По софту если что меня длинки устраивают на 110%. Тем более, что разработчики на критику и предложения довольно живо реагируют. Нашел я в коде бэкдор пароли - отослал гневное письмо разработчикам - убрали (и довольно шустро). Пожаловался на то, что свитч на вебморде пишет свою модель и что это небезопасно - убрали. Попросил добавить настраиваемое приглашение в telnet - сделали. Правда возможность создавать несколько ip-интерфейсов (без маршрутизации) так и не добавили (фича уже есть в коде, надо только 1 бит подправить). А вот железо... :((( Эх...

Здравствуйте. Суть проблемы в следующем: имеется пара сотен свичей доступа. Практически все - DLink 3550/3526 (когда все это затевалось жутко экономили и видимо зря). На многих из этих коммутаторов реализована привязка port-ip. Т.е. на каждом рабочем месте разрешен только свой IP. Сделано это при помощи ACL по содержимому пакета. Вот примерно так: # Разрешить фреймы 0x0806 с исход. разрешенным ip на 3 порту (0x0806 - ARP) # cr access packet offset_16-31 0xFFFF0000 0x0 0x0 0x0 offset_32-47 0xFFFFFFFF 0x0 0x0 0x0 prof 6 # co access profile_id 6 add access_id auto packet offset_16-31 0x08060000 0x0 0x0 0x0 offset_32-47 0x0A0A0A0A 0x0 0x0 0x0 port 3 permit # # Разрешить фреймы 0x0800 с исход. разрешенным ip на 3 порту (0x0800 - IPv4) # cr access packet offset_16-31 0xFFFF0000 0x0 0x0 0x0000FFFF offset_32-47 0xFFFF0000 0x0 0x0 0x0 prof 7 # co access profile_id 7 add access_id auto packet offset_16-31 0x08000000 0x0 0x0 0x0A0A offset_32-47 0x0A0A0000 0x0 0x0 0x0 port 3 permit # # Запретить все остальные фреймы # create access packet offset_0-15 0x0 0x0 0x0 0x0 profile_id 8 # config access profile_id 8 add access_id auto packet offset_0-15 0x0 0x0 0x0 0x0 port 3 deny Правила генерируются автоматически скриптом из базы и заливаются так же автоматически на свичи. Для аплинков и роутеров правила не задаются. Но эти длинк железки при всех своих достоинствах имеют один громадный недостаток - они дохнут пачками постоянно. Сначала мы запарились менять на них блоки питания и перепаивать на них кондеры. Лежит штук пять резервных - их меняют уже с закрытыми глазами. Потом они начали дохнуть по второму кругу - кондеры стабилизатора на основной плате и полевики. Ремонтник наш их тоже уже с закрытыми глазами перепаивает. Теперь новая напасть - при загрузке высыпается в ошибку, пишет трейс в консоли и затихает. Таких уже с десяток. Свичи живут в нормальных условиях - температура, влажность в порядке. Кстати у нас до сих пор работает пара DES-3624 и ничего им не делается - делали же блин раньше. Поскольку с бюджетом щас гораздо лучше я пошел смотреть циски. Вот только упомянутые выше фортеля с ACL они не умеют (или я неправ ?). Вопрос в следующем: какие L2 свичи доступа умеют acl по содержимому пакета и при этом достаточно надежны в работе ?

Ну вот ifconfig... интерфейсы Defaul_xx, LEaps_xx, LibIn_xx - интерфейсы на пользовательских вланах... Остальные - хрен его знает... Broadcom Link encap:Ethernet Broadcom Link encap:Ethernet HWaddr 00:04:96:20:AE:C8 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) Defau_F4244 Link encap:Ethernet Defau_F42 Link encap:Ethernet HWaddr 00:04:96:20:AE:C8 inet addr:10.10.100.xx Bcast:10.10.100.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:21929967 errors:0 dropped:0 overruns:0 frame:0 TX packets:6669475 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:1470805267 (1.3 GiB) TX bytes:372312378 (355.0 MiB) Defau_F4244:2 Link encap:Ethernet Defau_F42 Link encap:Ethernet HWaddr 00:04:96:20:AE:C8 inet addr:195.xxx.xxx.xxx Bcast:195.xxx.xxx.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 LEaps_F424C Link encap:Ethernet LEaps_F42 Link encap:Ethernet HWaddr 00:04:96:20:AE:C8 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:8100320 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 B) TX bytes:891035200 (849.7 MiB) LibIn_F4247 Link encap:Ethernet LibIn_F42 Link encap:Ethernet HWaddr 00:04:96:20:AE:C8 inet addr:10.10.149.1 Bcast:10.10.149.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:4418553 errors:0 dropped:0 overruns:0 frame:0 TX packets:3604527 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:441970957 (421.4 MiB) TX bytes:196871267 (187.7 MiB) eth0 Link encap:Ethernet eth0 Link encap:Ethernet HWaddr 00:04:96:20:AE:C8 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) Interrupt:19 Base address:0x4000 intVla_100000 Link encap:Ethernet intVla_10 Link encap:Ethernet HWaddr 00:04:96:20:AE:C8 inet addr:10.0.1.2 Bcast:0.0.0.0 Mask:255.0.0.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) lo Link encap:Local Loopback lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) lo1 Link encap:Local Loopback lo1 Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:16199822 errors:0 dropped:0 overruns:0 frame:0 TX packets:16199822 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:2332774368 (2.1 GiB) TX bytes:2332774368 (2.1 GiB) lo2 Link encap:Local Loopback lo2 Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) netTx Link encap:Ethernet netTx Link encap:Ethernet HWaddr 00:04:96:20:AE:C8 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:38473926 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:3437193529 (3.2 GiB) TX bytes:0 (0.0 B) pimreg_2 Link encap:UNSPEC pimreg_2 Link encap:UNSPEC HWaddr 00-01-00-00-00-80-00-00-00-00-00-00-00-00-00-00 UP RUNNING NOARP MTU:1472 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

Дорогие модульные модели Extreme Networks такую фичу имеют...