Jump to content
Калькуляторы

Edge-Core ES-3528 dhcp snopping + ip-mac

Reply to this topic

sirmax   

sirmax
Posted

Внезапно вижу такую ситуацию:

ES-3528#sh ip dhcp snooping binding
MAC Address       IP Address      Lease(sec) Type                 VLAN Interface
----------------- --------------- ---------- -------------------- ---- ---------
20-cf-30-19-3e-13 94.XX.XX.231          205 dhcp-snooping        3042 Eth 1/2
7a-07-78-39-39-6d 121.116.108.111          0 bootp-snooping       3042 Eth 1/15
dc-0e-a1-fc-06-5d 94.XX.XX.26           242 dhcp-snooping        3042 Eth 1/13
e8-94-f6-71-0c-dd 94.XX.XX.18           291 dhcp-snooping        3042 Eth 1/7

 

Откуда могла взяться запись:

7a-07-78-39-39-6d 121.116.108.111          0 bootp-snooping       3042 Eth 1/15

Левых DHCP в сети нет, случай не единственный в разных вланах, и с рвзным IP схема влан-на-свитч

левого траффика сходу не видно

 

94.XX.XX.XX - это валидные адреса.

 

На свитче по сути ничего кроме снуппинга не включено:

...
ip dhcp snooping
ip dhcp snooping vlan 3042
ip dhcp snooping information option


interface ethernet 1/15
ip source-guard sip-mac
switchport allowed vlan add 3042 untagged
switchport native vlan 3042
switchport allowed vlan remove 1
switchport allowed vlan add 4093 tagged
switchport mode access
!

 

 

Куда копать?

Share this post

Link to post
Share on other sites

xcme   

xcme
Posted

Куда копать?

А почему bootp? Может сервер послал клиента, а коммутатор неправильно распознал ответ и занес с лизой=0 и с IP-адресом из байт, с тех позиций, где ожидал адрес в пакете DHCP?

Share this post

Link to post
Share on other sites

sirmax   

sirmax
Posted

Куда копать?

А почему bootp? Может сервер послал клиента, а коммутатор неправильно распознал ответ и занес с лизой=0 и с IP-адресом из байт, с тех позиций, где ожидал адрес в пакете DHCP?

Это возможно но в логах DHCP сервера я пока что странностей не нашел.

Share this post

Link to post
Share on other sites

witch   

witch
Posted (edited)

откопал лог:

Vty-0#sh ip dh sn b
MAC Address   	IP Address      Lease(sec) Type VLAN Interface
----------------- --------------- ---------- -------------------- ---- ---------
32-2e-30-0d-0a-56 50.51.46.49              0 bootp-snooping        108 Eth 1/11
40-16-7e-5a-d8-00 91.xxx.1.85          2893 dhcp-snooping        108 Eth 1/11

 

был софт 1.4.20.7 залил 1.4.20.24 посмотрим.

Edited by witch

Share this post

Link to post
Share on other sites

witch   

witch
Posted

У меня зоопарк софта

Как минимум на

Operation Code Version:  1.4.20.21

воспроизводилось

 

Кстати а где качнуть 1.4.20.24 ?

 

ответил в личку

Share this post

Link to post
Share on other sites

witch   

witch
Posted (edited)

у вимкома на фтп. вроде обновляют.

 

ftp://ftp.vimcom.ru/...3552M/firmware/

 

не все прошивки выкладывают в паблик.

 

 

нашёл у себя ещё парочку свичей с такой записью.

что характерно мас для bootp нигде на порту нет и данные мас не бъются по масdatabase.

Vty-0#sh ip dh sn bi
MAC Address   	IP Address  	Lease(sec) Type     			VLAN Interface
----------------- --------------- ---------- -------------------- ---- ---------
50-2f-32-2e-30-0d 50.50.46.50          	0 bootp-snooping    	109 Eth 1/1
d8-fe-e3-f9-53-15 91.xxx.210.26 		2029 dhcp-snooping 		109 Eth 1/1

Vty-0#sh mac-address-table int e 1/1
Interface MAC Address   	VLAN Type
--------- ----------------- ---- -----------------
 Eth 1/ 1 D8-FE-E3-F9-53-15  109 Learned-PSEC
Vty-0#sh run int e 1/1
interface ethernet 1/1
port security max-mac-count 2
ip source-guard sip-mac
switchport allowed vlan add 109 untagged
switchport native vlan 109
switchport allowed vlan remove 1
spanning-tree spanning-disabled
spanning-tree bpdu-filter
ip access-group TRASH in

 

в логах свича:

 

Vty-0#sh log ram
[2048] 18:07:04 2016-01-11
  "LoginSuccess,admin,TELNET,172.17.0.21"
  level: 6, module: 5, function: 1, and event no.: 1
[2047] 18:01:23 2016-01-11
  "DHCPSNP attack: Eth 1/1, IP: 91.xxx.210.26"
  level: 6, module: 5, function: 1, and event no.: 1
[2046] 18:01:20 2016-01-11
  "DHCPSNP attack: Eth 1/1, IP: 91.xxx.210.26"
  level: 6, module: 5, function: 1, and event no.: 1
[2045] 17:57:47 2016-01-11
  "LoginSuccess,admin,TELNET,xxx.162.8.5"
  level: 6, module: 5, function: 1, and event no.: 1
[2044] 17:57:24 2016-01-11
  "DHCPSNP attack: Eth 1/1, IP: 91.xxx.210.26"
  level: 6, module: 5, function: 1, and event no.: 1
[2043] 17:57:21 2016-01-11
  "DHCPSNP attack: Eth 1/1, IP: 91.xxx.210.26"
  level: 6, module: 5, function: 1, and event no.: 1
[2042] 17:47:17 2016-01-11
  "DHCPSNP attack: Eth 1/1, IP: 91.xxx.210.26"
  level: 6, module: 5, function: 1, and event no.: 1
[2041] 17:47:14 2016-01-11
  "DHCPSNP attack: Eth 1/1, IP: 91.xxx.210.26"
  level: 6, module: 5, function: 1, and event no.: 1            	
[2040] 17:46:46 2016-01-11
  "DHCPSNP attack: Eth 1/1, IP: 91.xxx.210.26"
  level: 6, module: 5, function: 1, and event no.: 1
[2039] 17:46:43 2016-01-11
  "DHCPSNP attack: Eth 1/1, IP: 91.xxx.210.26"
  level: 6, module: 5, function: 1, and event no.: 1
[2038] 17:46:06 2016-01-11
  "DHCPSNP attack: Eth 1/1, IP: 91.xxx.210.26"
  level: 6, module: 5, function: 1, and event no.: 1
[2037] 17:46:03 2016-01-11
  "DHCPSNP attack: Eth 1/1, IP: 91.xxx.210.26"
  level: 6, module: 5, function: 1, and event no.: 1

Edited by witch

Share this post

Link to post
Share on other sites

sirmax   

sirmax
Posted

что характерно мас для bootp нигде на порту нет и данные мас не бъются по масdatabase.

Аналогично.

 

 

Стыдно признаться, но регулярно маки со свитчей не собираю (нет времени все настроить сборку по SNMP)

Share this post

Link to post
Share on other sites

witch   

witch
Posted

Стыдно признаться, но регулярно маки со свитчей не собираю (нет времени все настроить сборку по SNMP)

А на кой они тебе?! ну поменял клиент роутер/комп - получит другой адрес, старый в остойник уйдёт.

Share this post

Link to post
Share on other sites

xcme   

xcme
Posted

А на кой они тебе?! ну поменял клиент роутер/комп - получит другой адрес, старый в остойник уйдёт.

Для ответов на "письма друзей" ну и для техподдержки, когда нужно провести траблшутинг задним числом. На самом деле удобно, хоть и редко нужно.

Тут еще графики загрузки абонентских портов рисуем. Спрашивали у ТП, мол нужно вам вообще? "Ну так, иногда пользуемся..." А однажды сломалась рисовалка, так прибежали и "когда почините? нам нужно для работы!". :)

Share this post

Link to post
Share on other sites

sirmax   

sirmax
Posted

Стыдно признаться, но регулярно маки со свитчей не собираю (нет времени все настроить сборку по SNMP)

А на кой они тебе?! ну поменял клиент роутер/комп - получит другой адрес, старый в остойник уйдёт.

Детектить "флудящие" свитчи со стороны абонентов + история - учитывая что уровень инженеров техподдержки достаточно низкий, потому иногда возникают вопросы вида "я вчера ходил к абоненту и у него было ... а сейчас расскажи почему не работало".

 

Учитывая что размер сети позволяет собирать такие данные - почему бы и не сделать то?

Хотя критической необходимости нет.

 

Тут еще графики загрузки абонентских портов рисуем.

Ошибки тоже?

Как автоматизируете?

Пока свитчей до 1К - можно и кактусом обойтись но хочется что то с API что бы все конфиги генерить из базы

Но это уж совсем не по теме вопрос

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Активное оборудование Ethernet, IP, MPLS, SDN/NFV...