Jump to content
Калькуляторы

Непонятный флуд подскажите

Reply to this topic

m4a12345   

m4a12345
Posted (edited)

Есть абоненты в l3 домене 100 шт. Звонят - говорят не работает.

смотрим свичлог - 

Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.1.1, MAC: 00-25-22-2D-21-71, port: 4)
Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.1.1, MAC: B8-A3-86-07-3B-F9, port: 5)
Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.1.1, MAC: F0-DE-F1-C2-C1-16, port: 15)
Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.1.1, MAC: F0-DE-F1-C2-C1-16, port: 15)
Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.1.1, MAC: F0-DE-F1-C2-C1-16, port: 15)
Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.1.1, MAC: B8-A3-86-07-3B-F9, port: 5)
Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.1.1, MAC: F0-DE-F1-C2-C1-16, port: 15) 
Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.1.1, MAC: 28-28-5D-69-69-29, port: 9
Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.1.1, MAC: B8-A3-86-07-3B-F9, port: 5)

 

 

Очень странно. DHCP Screening, loopback detection, arp inspection, dhcp snooping, ipmb acl включены на всех свичах.

ИП выдаются на неделю.

 

ТП не успевает проверить wireshark om

 

флуд сам прекращается, у всех сразу начинает работать.

Куда копать?

Edited by m4a12345

Share this post

Link to post
Share on other sites

moonfire   

moonfire
Posted

Может всё таки где-то недосмотрели и затисался левый dhcp сервак.

У юзеров реально такой адрес на компах выдаётся? Что ТП говорит?

Share this post

Link to post
Share on other sites

Умник   

Умник
Posted

Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.1.1, MAC: 00-25-22-2D-21-71, port: 4)

Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.1.1, MAC: B8-A3-86-07-3B-F9, port: 5)

Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.1.1, MAC: F0-DE-F1-C2-C1-16, port: 15)

Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.1.1, MAC: F0-DE-F1-C2-C1-16, port: 15)

Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.1.1, MAC: F0-DE-F1-C2-C1-16, port: 15)

Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.1.1, MAC: B8-A3-86-07-3B-F9, port: 5)

Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.1.1, MAC: F0-DE-F1-C2-C1-16, port: 15)

Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.1.1, MAC: 28-28-5D-69-69-29, port: 9

Unauthenticated IP-MAC address and discarded by ip mac port binding (IP: 192.168.1.1, MAC: B8-A3-86-07-3B-F9, port: 5)

Это с разных свитчей или с одного? За какой период времени записи?

Share this post

Link to post
Share on other sites

man781   

man781
Posted

Я не уверен - но вот вам кейс для проверки:

 

была у меня вроде похожая ситуация.

Не мог несколько месяцев понять.

 

Условия возникновения проблемы

 

1. Юзеры не изолированы по L2

2. Роутеры Zyxel (c адресом по умолчанию на лан 192.168.1.1)

3. Любой сосед по влану (броадкаст домену) посылает арп "кто есть 192.168.1.1" (не важно даже почему спрашивает)

4. Роутеры Zyxel отвечают с wan !!!!! интерфейса - что мол это они 192.168.1.1

5. И тут же попадают в бан - банит арп инспекшн на порту доступа (ибо мак ван фейса - а ип 192.168.1.1)

 

п.с. обращался в суппорт зухеля - сказали -что это стандартное поведение - рулится стандартным параметром в ядре любого линукс - отвечать на арп с любого фейса

 

 

п.с. полная изоляция юзеров на свиче (порт изолейшн) и полная изоляция между свичами на л2 (если влан больше чем на один свич) - решает проблему чуть более чем полностью

(а так же множество других проблем).

Share this post

Link to post
Share on other sites

m4a12345   

m4a12345
Posted

Я не уверен - но вот вам кейс для проверки:

 

была у меня вроде похожая ситуация.

Не мог несколько месяцев понять.

 

Условия возникновения проблемы

 

1. Юзеры не изолированы по L2

2. Роутеры Zyxel (c адресом по умолчанию на лан 192.168.1.1)

3. Любой сосед по влану (броадкаст домену) посылает арп "кто есть 192.168.1.1" (не важно даже почему спрашивает)

4. Роутеры Zyxel отвечают с wan !!!!! интерфейса - что мол это они 192.168.1.1

5. И тут же попадают в бан - банит арп инспекшн на порту доступа (ибо мак ван фейса - а ип 192.168.1.1)

 

п.с. обращался в суппорт зухеля - сказали -что это стандартное поведение - рулится стандартным параметром в ядре любого линукс - отвечать на арп с любого фейса

 

 

п.с. полная изоляция юзеров на свиче (порт изолейшн) и полная изоляция между свичами на л2 (если влан больше чем на один свич) - решает проблему чуть более чем полностью

(а так же множество других проблем).

 

Да, зуксели это. Изолировать юзеров на порту нереально, т.к. цепочки свичей. Вот думаю арп с 192,168,1,1 резать, или не?

Share this post

Link to post
Share on other sites

mcdemon   

mcdemon
Posted (edited)

Вам нужно понять от куда взялся вообще арп запрос к 192.168.1.1

коммутатор случайно не 3028?

покажите конфигурацию IMPB

Edited by mcdemon

Share this post

Link to post
Share on other sites

m4a12345   

m4a12345
Posted (edited)

3028 нету. 1228 нету.

легко.


config address_binding ip_mac ports 1-24 allow_zeroip enable
enable address_binding trap_log
create address_binding ip_mac ipaddress 31.2.18.130 mac_address F0-DE-F1-C2-C1-16 ports 15 mode acl
create address_binding ip_mac ipaddress 31.2.18.135 mac_address 00-30-67-B7-04-F5 ports 2 mode acl
create address_binding ip_mac ipaddress 31.2.18.153 mac_address 28-28-5D-69-69-29 ports 9 mode acl
create address_binding ip_mac ipaddress 31.2.18.167 mac_address 00-1F-16-79-80-51 ports 17 mode acl
create address_binding ip_mac ipaddress 31.2.18.183 mac_address 00-25-22-4B-D0-42 ports 11 mode acl
create address_binding ip_mac ipaddress 31.2.18.184 mac_address 20-CF-30-D8-12-C2 ports 10 mode acl
create address_binding ip_mac ipaddress 31.2.18.238 mac_address BC-5F-F4-EA-3B-3C ports 20 mode acl

config address_binding dhcp_snoop max_entry ports 1-26 limit 5

Edited by m4a12345

Share this post

Link to post
Share on other sites

man781   

man781
Posted 

Да, зуксели это. Изолировать юзеров на порту нереально, т.к. цепочки свичей. Вот думаю арп с 192,168,1,1 резать, или не?

У нас тоже цепочки свичей в одной влан.

 

Все реально изолировать и не городить ACL.

 

например:

 

агрег <---> P25_свич_доступа#1(порты 1-24 юзеры)_P26 <---> P25_свич_доступа#2(порты 1-24 юзеры)

 

На обоих свичах доступа в цепочке - включаю порт изолейтед на портах 1-24,26 - все работает. И при этом юзеры не видят друг друга ни в одном свиче, ни на соседнем.

 

Вам нужно понять от куда взялся вообще арп запрос к 192.168.1.1

От юзера он взялся.

Это не глюк свичей.

Это не глюк роутеров.

 

Просто у соседа по влану (без всякого злого умысла) домашний комп хочет что-то отправить на 192.168.1.1 - делает в сеть арп пинг

и всё - все невинные соседи с роутером zyxel в бане.

 

Я пытался изучать - почему ПК генерит такой запрос.

Дампил траф.

Приходил домой к юзерам, которые являлись источником проблемы.

Обычные домохозяйки.

Ничего специально не делали.

Где-то в протоколах высокого уровня фигурирует адрес назначения какого либо сервиса 192.168.1.1

(ссылки, списки сканирования, вирусы, кто-то в DC неверно что-то настроил и тд. и тп.)

Вот и ищет потом ось такой адрес.

На самом деле не важно почему.

Например, пинговать адрес 192.168.1.1 с юзерского девайса - это абсолютно легальное действие.

 

Ну вот еще простой кейс, юзер где-то прочитал как зайти на роутер - заходит в браузере и вводит 192.168.1.1 (а у него, например нету роутера, или другой роутер с адреосм 192.168.0.1)

Начинается обычный lookup адреса 192.168.1.1

И далее происходит описанная мной проблемка.

 

Никто не виноват.

Пытаться изучать поведение юзера или его говны в винде - бессмысленно.

Нужно строить сеть так, чтобы юзеры физически не могли навредить своим соседям и провайдеру вот таким вот способом.

 

Ребята, в конце концов почти 2016 год на дворе - давайте уже запомним:

Различные домохозяйства, клиенты провайдера интеренет-доступа, обязаны быть изолированы на L2 уровне друг от друга!!!

Share this post

Link to post
Share on other sites

m4a12345   

m4a12345
Posted

Ну схема выше понятна, НО!.

У нас кольца, и аплинк может быть в разных портах. Буду, конечно, предлагать переводить на влан-на-свич.

Share this post

Link to post
Share on other sites

Negator   

Negator
Posted

мы изолируем на l2 и уже очень давно вместо использования всяких биндингов прибиваем ip к порту абонента с помощью acl. в том числе и arp. т.е. пропускаем анонсы arp только с валидных адресов клиента.

Share this post

Link to post
Share on other sites

man781   

man781
Posted

в случае влан на юзера - вся эта изоляция портов, ацл, и прочие биндинги и инспекшны нафиг не нужны.

Все что нужно от свича доступа - это влан.

 

Но это уже совсем другая история с терминацией этих юзеров ....

(взрослые проблемы высокого порядка :)

Share this post

Link to post
Share on other sites

Antares   

Antares
Posted

Ну схема выше понятна, НО!.

У нас кольца, и аплинк может быть в разных портах. Буду, конечно, предлагать переводить на влан-на-свич.

Лучше сразу вилан на абонента

Share this post

Link to post
Share on other sites

Susanin   

Susanin
Posted

Была похожая проблема.

Только ИП прилетали 192.168.0.1 и блочились длинковские роутеры. Оказалось что на одном порту была тупая свича. Её ребут сразу излечил трабл.

Share this post

Link to post
Share on other sites

mcdemon   

mcdemon
Posted
Вам нужно понять от куда взялся вообще арп запрос к 192.168.1.1

От юзера он взялся.

Это не глюк свичей.

Это не глюк роутеров.

 

Просто у соседа по влану (без всякого злого умысла) домашний комп хочет что-то отправить на 192.168.1.1 - делает в сеть арп пинг

и всё - все невинные соседи с роутером zyxel в бане.

 

Я пытался изучать - почему ПК генерит такой запрос.

Дампил траф.

Приходил домой к юзерам, которые являлись источником проблемы.

Обычные домохозяйки.

Ничего специально не делали.

Где-то в протоколах высокого уровня фигурирует адрес назначения какого либо сервиса 192.168.1.1

(ссылки, списки сканирования, вирусы, кто-то в DC неверно что-то настроил и тд. и тп.)

Вот и ищет потом ось такой адрес.

На самом деле не важно почему.

Например, пинговать адрес 192.168.1.1 с юзерского девайса - это абсолютно легальное действие.

 

Ну вот еще простой кейс, юзер где-то прочитал как зайти на роутер - заходит в браузере и вводит 192.168.1.1 (а у него, например нету роутера, или другой роутер с адреосм 192.168.0.1)

Начинается обычный lookup адреса 192.168.1.1

И далее происходит описанная мной проблемка.

Хочу поспорить.

Если неправильно настроен дц клиент как вы говорите или абонент просто пропингует 192.168.1.1, по вашему это вызовет arp запрос?

В данном случае у абонентов адреса 31.2.18.*** то-есть подсеть совсем другая, о каком arp можно в данном случае говорить. запрос пойдет на шлюз...

 

еще раз повторюсь, надо выяснить от куда взялся запрос arp на 192.168.1.1

 

Посудите сами, на портах включен IMPB в режиме ACL

Данный режим не пропустит даже первый arp пакет, с невалидным адресом источника.

Значит пакет пришел либо с аплинка/даунлинка, либо на каком-то порту не ACL режим

по приведенному конфигу я вижу acl режим только на портах где есть связки, я просто непомню, но помему ACL режим можно еще и глобально включать для IMPB

и аффтар так и не назвал модель коммутатора

Share this post

Link to post
Share on other sites

m4a12345   

m4a12345
Posted (edited)
Вам нужно понять от куда взялся вообще арп запрос к 192.168.1.1

От юзера он взялся.

Это не глюк свичей.

Это не глюк роутеров.

 

Просто у соседа по влану (без всякого злого умысла) домашний комп хочет что-то отправить на 192.168.1.1 - делает в сеть арп пинг

и всё - все невинные соседи с роутером zyxel в бане.

 

Я пытался изучать - почему ПК генерит такой запрос.

Дампил траф.

Приходил домой к юзерам, которые являлись источником проблемы.

Обычные домохозяйки.

Ничего специально не делали.

Где-то в протоколах высокого уровня фигурирует адрес назначения какого либо сервиса 192.168.1.1

(ссылки, списки сканирования, вирусы, кто-то в DC неверно что-то настроил и тд. и тп.)

Вот и ищет потом ось такой адрес.

На самом деле не важно почему.

Например, пинговать адрес 192.168.1.1 с юзерского девайса - это абсолютно легальное действие.

 

Ну вот еще простой кейс, юзер где-то прочитал как зайти на роутер - заходит в браузере и вводит 192.168.1.1 (а у него, например нету роутера, или другой роутер с адреосм 192.168.0.1)

Начинается обычный lookup адреса 192.168.1.1

И далее происходит описанная мной проблемка.

Хочу поспорить.

Если неправильно настроен дц клиент как вы говорите или абонент просто пропингует 192.168.1.1, по вашему это вызовет arp запрос?

В данном случае у абонентов адреса 31.2.18.*** то-есть подсеть совсем другая, о каком arp можно в данном случае говорить. запрос пойдет на шлюз...

 

еще раз повторюсь, надо выяснить от куда взялся запрос arp на 192.168.1.1

 

Посудите сами, на портах включен IMPB в режиме ACL

Данный режим не пропустит даже первый arp пакет, с невалидным адресом источника.

Значит пакет пришел либо с аплинка/даунлинка, либо на каком-то порту не ACL режим

по приведенному конфигу я вижу acl режим только на портах где есть связки, я просто непомню, но помему ACL режим можно еще и глобально включать для IMPB

и аффтар так и не назвал модель коммутатора

 

Да, флудераста вчера наши, с помощью wireshark. Слал со своего валидного IP арпы "who 192.168.1.1? tell 31.2.16.160".

 

Этот арп длинк считает совершенно нормальным, Ип источника, мак, порт совпадают. Даже арп инспекшн пропускает, поскольку это просто арп запрос. То, что в арпе запрашиваемый ип не в диапазоне длинка не интересует.Он не знает ни маски ни шлюза.

 

Acl режим глобально включен. Кстати, флудер был в 3200 с1.

Edited by m4a12345

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Активное оборудование Ethernet, IP, MPLS, SDN/NFV...