Jump to content

Vlan на дом - IP адрес управления в юзерском влан

man781
 Share

Recommended Posts

man781

man781

Posted
Posted

Чем может реально грозить адрес управления в юзерском влане на свичах доступа (схема влан на дом)?

 

Для ограничения доступа к свичу юзается сложный пасс и authentication ip access-class acl_name

Вот так исторически сложилось.

Свичей реально тысячи и переделывать не так уж и просто.

 

Знаю, что это очень некрасиво - но чем реально плохо?

disappointed

disappointed

Posted
Posted

MitM атакой на телнет сессию до коммутатора,

Если жёстко прибить связки маков и айпишников свитчей на железе куда всё сводится,

то наверное ещё останется опасной возможность л2 флуда.. шторма, петель,

что может привести CPU свитча в полку и как следствие отвалу управления.

Вообщем подводя итог - всё зависит от применяемых ACL-ей на абонских портах.

pppoetest

pppoetest

Posted
Posted

Чем может реально грозить адрес управления в юзерском влане на свичах доступа (схема влан на дом)?

Потерей управления, достаточно пофлудить арп.

 

Вообщем подводя итог

Как бы небыло геморно, управление всё таки лучше вынести.

disappointed

disappointed

Posted
Posted

А ну да, свитч же тоже можно залить arp-isit пакетами, так, что он настоящего

мака своего гейта вжизнь не получит. И даже если это пофиксить статической записью у него в FDB,

то объём такой работы будет больше, чем просто нормально довести managment изолированно.

man781

man781

Posted
  • Author
Posted

а не помогает от всего этого? :

dhcp snooping

arp inspection

arp rate limit

loop detection

и тому подобные рючешки?

 

 

И даже если потеряли управление на время (не часто нужно управление на домовом свиче вот прям щас)

- юзерский трафик то все равно по идее в это время форвардится.

pppoetest

pppoetest

Posted
Posted

а не помогает от всего этого? :

dhcp snooping

arp inspection

arp rate limit

loopback-detection

и тому подобные рючешки?

Сколько займёт времени настройка этих рюшечек? Я думаю всяко меньше, чем вынесение управления в отдельный влан/ы.

man781

man781

Posted
  • Author
Posted

эти рюшечки настроены изначально.

 

Кстати - недавно нужно было на всех свичах изменить настройки игмп.

Скрипт на баше + expect = очень помогает - запускаешь и идешь курить на пару часов.

 

А вот адрес управления так просто поменять не получится...

И много чего еще завязано.

xcme

xcme

Posted
Posted

И даже если потрели управление на время (не часто нужно управление на домовом свиче вот прям щас)

- юзерский трафик то все равно по идее в это время.

Некоторые функции все равно реализованы программно. IGMP Snooping, DHCP Relay, Storm Control и т.п. вещи. Юзерский трафик будет ходить, но будет проблема с телевидением и получением IP-адресов.

К тому же трафик, который летит прямиком на интерфейс коммутатора, имеет некоторый приоритет по отношению к остальному. Во всяком случае на проц он будет попадать, пусть даже ACL его в итоге дропнут.

На D-Link не нашел способа защитить коммутатор собственными средствами и это при том, что управление в отдельном vlan. А если нет, то вообще беда.

То есть либо вариант с управляющим влан и отсутствие маршрутизации туда для абонентов, либо вариант с управляющим влан и ACL на доступе для абонентов.

Хоть коммутатор и не может спасти себя от флуда, но он может спасти соседей, в то время как соседи защищают его.

 

Если имеете какие то странности на доступе и не всегда понятное поведение - выносите управление отдельно и результат вас приятно удивит.

alexaaa

alexaaa

Posted
Posted

Чем может реально грозить адрес управления в юзерском влане на свичах доступа (схема влан на дом)?

 

Для ограничения доступа к свичу юзается сложный пасс и authentication ip access-class acl_name

Вот так исторически сложилось.

Свичей реально тысячи и переделывать не так уж и просто.

 

Знаю, что это очень некрасиво - но чем реально плохо?

что за дебилизм, управление свича выноситься в отдельный влан всегда, даже если у вас их тысячи, можно по 20 штук реально перенастроить в день.

man781

man781

Posted
  • Author
Posted

Это и Капитану Очевидность ясно - что нужно выносить управление.

Вопрос даже не об этом стоит.

Вопрос топика про РЕАЛЬНЫЕ грабли.

Просто это интересно.

Вот Вы напишите конкретные реальные грабли из вашей жизни, а не теоретические предположения.

Или у всех сразу было сделано правильно и никто даже и не знает реальные грабли....

Просто у меня управление в юзерском влан - и вроде с большего все работает.

А там хз...

xcme

xcme

Posted
Posted (edited)

Вот Вы напишите конкретные реальные грабли из вашей жизни, а не теоретические предположения.

Конкретно это выглядит так: коммутатор недоступен или безбожно тормозит по неизвестной причине. Когда его отпускает и доступ появляется, то измерять там уже нечего. Почесали репу, пожали плечами и забыли.

И тут речь даже не о предположениях, а об понимании общих принципов работы. Не обязательно СНАЧАЛА наступать на грабли, а потом устранять их. Можно ведь и заранее их спрятать. =)

 

p.s. Бывает еще карта "мигает". Свичик не ответил на арп из-за давления на проц - время жизни на роутере устарело и коммутатор отметился "упавшим" на карте. А на следующий арп уже есть ответ и свичик "поднимается".

Edited by xcme
pppoetest

pppoetest

Posted
Posted

Или у всех сразу было сделано правильно и никто даже и не знает реальные грабли....

Именно, я месяца три интернеты штудировал, прежде чем что-либо начинать строить.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.