[mihele95]

Добрый день. Хотелось послушать мнение людей, имеющих опыт работы с коммутаторами d-link.

 

Периодически появляются проблемы с тем, что некоторые роутеры блокируются ipmb при включении.

В случаях, когда роутер при загрузке превращается в тупой свитч, он появляется в списке блокировки (show address_binding blocked all) и далеко не всегда выбирается оттуда сам. Абонент звонит нам, мы вручную гасим порт, чистим привязку ipmac, просим абонента перезагрузить роутер и после полной прогрузки включаем порт обратно.

 

Так же бывают совсем мистические ситуации, когда роутер не отображается ни в таблице маков, ни в таблице блокировки биндингом. В d-link это объяснили тем, что некоторые роутеры при старте могут высылать не dhcp пакеты, а какие-то другие и порт сразу блокируется. В этом случае нам помогает только отключение strict на этом порту, либо замена роутера у абонента.

 

Можем ли мы без последствий отключить arp_inspection и заменить его хотя бы на ip_inspection, при условии:

 

коммутаторы: des-3200-28, dgs-3120-24sc;

абоненты не во влане управления;

включены: dhcp_server_screening, traffic control, traffic_segmentation

абоненты получают ip адреса по dhcp, со статически привязанному адресу к порту коммутатора

 

конфиг:

 

1-27 - порты для абонентов, 28 - аплинк, 15 - влан управления, 50 - влан для абонентов.

 

 

config traffic control 1-27 broadcast enable multicast enable unicast disable action drop broadcast_threshold 64 multicast_threshold 64 unicast_threshold 64 countdown 0 time_interval 5config traffic control auto_recover_time 0config traffic trap noneconfig traffic control log state enableenable loopdetectconfig loopdetect ports 1-27 state enableconfig loopdetect ports 28 state disableconfig loopdetect recover_timer 600 interval 5 mode port-basedconfig loopdetect trap noneconfig loopdetect log state enable# VLANenable pvid auto_assignconfig vlan default delete 1-28config vlan default advertisement enablecreate vlan manager tag 15config vlan manager add tagged 28 advertisement disablecreate vlan vlan50 tag 50config vlan vlan50 add tagged 28 advertisement disableconfig vlan vlan50 add untagged 1-27 advertisement disabledisable gvrpdisable asymmetric_vlandisable vlan_trunk# ADDRBINDenable address_binding dhcp_snoopconfig address_binding dhcp_snoop max_entry ports 1-27 limit 5config address_binding ip_mac ports 1-27 arp_inspection strict ip_inspection disable allow_zeroip enable forward_dhcppkt enable stop_learning_threshold 5config address_binding ip_mac ports 28 forward_dhcppkt disableenable address_binding trap_logconfig address_binding dhcp snooping recovery_timer 300disable address_binding dhcp_snoop ipv6disable address_binding nd_snoop# DhcpServerScreeningconfig filter netbios all state enableconfig filter extensive_netbios all state enableconfig filter dhcp_server ports 1-27 state enableconfig filter dhcp_server ports 28 state disable# IPconfig ipif System vlan manager ipa xx.xx.xx.yy/24 st encreate iproute default xx.xx.xx.zz# DHCP_LOCAL_RELAYenable dhcp_local_relayconfig dhcp_local_relay option_82 circuit_id defaultconfig dhcp_local_relay option_82 remote_id defaultconfig dhcp_local_relay vlan vlanid 50 state enableconfig dhcp_local_relay option_82 ports 28 policy keepconfig dhcp_local_relay option_82 ports 1-27 policy replace

 

 

Интересует защита от атак с переполнением таблиц на свитче + защита от того, что абонент пропишет себе статический ip адрес другого клиента и продолжит работу в интернете без оплаты и возможно еще какие-то моменты, которые я не учел.

От первого, как я понимаю, защищает port_security, а от второго dhcp_snooping ip_inspection, но одновременно их включить нельзя.

Изменено 17 декабря, 2015 пользователем mihele95

[Negator]

des-3200-28 - какая ревизия коммутаторов?

 

Кратко опишу наш опыт

IP-MAC-Binding DHCP Snooping у нас нормально работает только на 3200 Rev C1 с относительно новыми прошивками, начиная с 4.36

На остальных моделях мы прибили IP к порту c помощью ACL и включили Port Security.

Прибили IP с учетом ARP трафика, т.е. разрешили ARP анонсы с правильными IP и запретили прочие. Делается это автоматом прямо с биллинга

правила PCF

коммутаторы: DES-3526/50, DES 1228ME, DES-3028/52, DES-3200-28 Rev A,B

Правила ACL не блокируют порт, а только невалидные пакеты.

 

Без этого - всякие биндинги работают с указанными проблемами, где то лучше, где то хуже.

[xcme]

Мы тоже от IMPB отказались в итоге - головная боль и нам и абонентам. Самая большая проблема - свичик имеет правильную связку, но абонента при этом блокирует. Проверить дело в IMPB или в компе абонента можно только выключив функционал на порту. Но потом его нельзя включить без переполучения адреса, иначе снова заблокирует. Очень неудобно.

 

Интересует защита от атак с переполнением таблиц на свитче

Это сама по себе не особо большая проблема, к тому же это легко найти анализируя логи MAC Notify. Учитывая, что последние иногда нужны техподдержке и для ответов на "письма счастья", есть смысл эти уведомления настроить и сделать что-то типа такого:

Раз в 3-4 часа поглядывать туда и искать аномалии.

 

Прибили IP с учетом ARP трафика, т.е. разрешили ARP анонсы с правильными IP и запретили прочие. Делается это автоматом прямо с биллинга

правила PCF

Поддерживаю. Работает на 100% предсказуемо.

[tehmeh]

На DGS-3000-24TC как с этим дела, интересно.

[m4a12345]

У нас привязки ipmb прописаны везде вручную. Dhcp snooping не нужен, т.к. у абонентов статический ип. Полет нормальный уже более года.

[xcme]

На DGS-3000-24TC как с этим дела, интересно.

Эта серия практически один в один ревизия C1. Если новых багов не налепили, то будет работать точно также.

[mihele95]

Прибили IP с учетом ARP трафика, т.е. разрешили ARP анонсы с правильными IP и запретили прочие. Делается это автоматом прямо с биллинга

правила PCF

 

Можно немного поподробнее?

 

des-3200-28 - какая ревизия коммутаторов?

 

3200 у нас всех ревизий.

 

На остальных моделях мы прибили IP к порту c помощью ACL и включили Port Security.

 

Если мы настроим acl ip-mac, то человек на этом порту сможет пользоваться только одним устройством с валидным маком и когда ему нужно будет воткнуть в другой роутер или ноутбук, он начнет названивать, с просьбой переписать.

Или я неправильно вас понял?

Изменено 17 декабря, 2015 пользователем mihele95

[xcme]

Если мы настроим acl ip-mac, то человек на этом порту сможет пользоваться только одним устройством с валидным маком и когда ему нужно будет воткнуть в другой роутер или ноутбук, он начнет названивать, с просьбой переписать.

Или я неправильно вас понял?

Про маки давно надо забыть. Контролировать надо IP.

 

create access_profile profile_id 4 profile_name pcf packet_content_mask offset_chunk_1 3 0xFFFF offset_chunk_2 7 0xFFFFFEF8 offset_chunk_3 8 0xFFF80000
config access_profile profile_name pcf add access_id   4 packet_content offset_chunk_1 0x0800 offset_chunk_2 0x0A8C3008 port 1 permit
config access_profile profile_name pcf add access_id   5 packet_content offset_chunk_1 0x0806 offset_chunk_3 0x30080000 port 1 permit
config access_profile profile_name pcf add access_id   6 packet_content offset_chunk_1 0x0806 offset_chunk_3 0x31080000 port 1 permit

Разрешит Source IP 10.140.48-49.8-15 и ARP ?.?.48-49.8-15 с порта №1 на ревизии C1. Как видно, можно разнообразные диапазоны описывать при желании.

Изменено 17 декабря, 2015 пользователем xcme

[Negator]

Неправильно.

MAC мы в правилах не учитываем совсем.

Чем хочешь тем и пользуйся.

IP клиент получает по DHCP.

Примером правил могу поделиться, надо поискать в наших разработках.

[mihele95]

xcme, спасибо, сейчас буду разбираться.

Примером правил могу поделиться, надо поискать в наших разработках.

Если не затруднит, был бы очень признателен =)

[Negator]

Пожалуйста

http://my-files.ru/xlcljk

В файле описание создание профилей, в том числе и по SNMP для 3028/52, 3200 A1,B1, 1228ME

Для 3526 по SNMP нету нормального описания, мы их долго ковыряли в свое время.

Но все аналогично - примеры есть на сайте длинка и по запросу на форуме длинка все присылают.

[kostikbel]

MAC мы в правилах не учитываем совсем.

Чем хочешь тем и пользуйся.

 

Хоть маком соседа ?

[rdc]

vlan per customer решает. можно даже на маке соседа сидеть, и всё будет работать. и у соседа тоже.

[xcme]

Хоть маком соседа ?

Вероятность угадать его стремится к нулю. :)

 

vlan per customer решает.

А терминировать на чем в общем случае? Имхо это самое слабое место топологии, при всех ее очевидных остальных плюсах.

[s.lobanov]

Хоть маком соседа ?

Вероятность угадать его стремится к нулю. :)

 

vlan per customer решает.

А терминировать на чем в общем случае? Имхо это самое слабое место топологии, при всех ее очевидных остальных плюсах.

 

на брасе, умеющем терминировать множество Q-in-Q сабов. брендовые это умеют - cisco, huawei, ericsson, alcatel

[xcme]

на брасе, умеющем терминировать множество Q-in-Q сабов. брендовые это умеют - cisco, huawei, ericsson, alcatel

О чем и речь. У меня нет браса в сети, а сама сеть просто классическая локалка из учебников, но огромного размера.

[AlKov]

Пожалуйста

http://my-files.ru/xlcljk

В файле описание создание профилей, в том числе и по SNMP для 3028/52, 3200 A1,B1, 1228ME

Для 3526 по SNMP нету нормального описания, мы их долго ковыряли в свое время.

Но все аналогично - примеры есть на сайте длинка и по запросу на форуме длинка все присылают.

Сбросьте пожалуйста, ещё раз файл.

По ссылке его уже нет..

Файл был удалён.
Причина удаления: Истёк срок хранения файла.

[Negator]

Поищу на работе, но не ранее понедельника.

[AlKov]

Поищу на работе, но не ранее понедельника.

Спасибо! Жду.

И ещё, если знаете, подскажите, для чего нужен параметр address_binding dhcp snooping recovery_timer?

В мануале ничего про него не нашёл.. Понятно, что таймер для "recovery", а вот чего?

Есть ли у него "связь" с какими-либо другими параметрами коммутатора, и если есть, то какая именно?

[47~GrAnd~74]

Поищу на работе, но не ранее понедельника.

 

Блин, его там нет. Может повторишь?