Jump to content
Калькуляторы

чужой dhcp сервер в сети

Доброго дня, поделитесь пожалуста знаниями по борьбе с чужими dhcp серверами. Проблемма возникла когда один из клиентов подключил в сеть роутер неправильно. На микротике индикация подключения чужого dhcp сервера есть, сделал правило чтоб данный мак блокировался, на своем интерфецсе который раздает ip, прописал еше другие адреса т.е интерфейс lan ip=172.16.0.1 (=dhcp server) + еше прописал адреса типа 192.168.0.1/192.168.1.1 и т.д, но все равно не всегда спасает. Некоторые свичи имеют защиту от dhcp spoofing-а а некоторые нет.

Share this post


Link to post
Share on other sites

На нормальном оборудовании это называется DHCP Snooping, к которому прилагается (в зависимости от вендора) trust, screening, ip-mac-port-binding.

На микротиках с этим ничего на L2 сделать не получится, терпите. Либо максимально сегментируйте сети, а то что не получается сегментировать, туннелируйте в PPPoE.

Share this post


Link to post
Share on other sites
4 minutes ago, iraklizh said:

Некоторые свичи имеют защиту от dhcp spoofing-а а некоторые нет.

Меняйте свитчи. Отстрел левых dhcp делается на access-уровне.

Share this post


Link to post
Share on other sites

Но даже на том оборудовании где такого нету, можно через ACL запретить все DCHP ответы  , исходящие  с абонентских портов.

 

 

Только что, zdutpdzi сказал:

Меняйте свитчи. Отстрел левых dhcp делается на access-уровне. 

есть вполне рабочая в нищие времена технология, по исчерпанию пула левого DHCP.

стоит в центре демон в 50 строк на перле, выжирает весь пулл и переодически просит ещё :-)

 

Share this post


Link to post
Share on other sites

Ну костыли конечно никто не отменял. Но лучше сразу делать сеть хорошо,чтобы потом не разгребать авгиевые конюшни. )))

 

3 minutes ago, LostSoul said:

Но даже на том оборудовании где такого нету, можно через ACL запретить все DCHP ответы  , исходящие  с абонентских портов.

Где-то видел древнюю статью для длинка,вроде там не dhcp,а левые pppoe-сервера в вилане выпиливались acl'ом или что-то похожее,могу запамятовать.

Share this post


Link to post
Share on other sites
10 минут назад, zdutpdzi сказал:

Где-то видел древнюю статью для длинка,вроде там не dhcp,а левые pppoe-сервера в вилане выпиливались acl'ом или что-то похожее,могу запамятовать.

не знаю как с DLink , а на любимых Saab95 микротиках с этим приходится бороться именно так.

Хоть он тут и топит за L3 на абонента, я лично не понимаю как выдавать ip unnumbered на всякие роутеры, которые этого не умеют.

Поэтому делаю нормальные L2 с фильтрацией на порту абонента лишнего.

Ну у меня микротиков в роли acсess всего несколько штук.

 

Share this post


Link to post
Share on other sites

 Спасибо!

будем тихо-тихо менять абонентское оборудование!

 

Share this post


Link to post
Share on other sites

В моей схеме с L3, не важно какое оборудование у абонента, ему выдается подсеть /24, но использовать в ней он может только свой IP. Адрес можно прописать вручную, а можно получить по DHCP. Поэтому если сеть не управляемая - делать PPPoE, если коммутаторы умеют вланы - сделать влан на порт и на каждый влан свой IP.

Share this post


Link to post
Share on other sites
34 минуты назад, Saab95 сказал:

В моей схеме с L3, не важно какое оборудование у абонента, ему выдается подсеть /24,

и как он тогда видит соседей по этой сети /24 ? через 254 proxyarp записей что ли?

 

 

34 минуты назад, Saab95 сказал:

Поэтому если сеть не управляемая - делать PPPoE, если коммутаторы умеют вланы - сделать влан на порт и на каждый влан свой IP.

людей, постоянно пытающихся увеличить энтропию , проводя излишние инкапсуляции одного в другое нужно от отрасли связи держать подальше кмк

 

 

Share this post


Link to post
Share on other sites
7 часов назад, LostSoul сказал:

и как он тогда видит соседей по этой сети /24 ?

Насколько я понимаю, далеко не всех это волнует

Share this post


Link to post
Share on other sites

на нормальном дизайне сети (vlan-per-user или хотя бы vlan-per-switch+port isolation) этой проблемы не существует, т.к. абоны не могут гадить друг другу на L2

 

dhcp-snooping это уродливый костыль, старайтесь не когда применять эту дрянь

Share this post


Link to post
Share on other sites
16 минут назад, s.lobanov сказал:

на нормальном дизайне сети (vlan-per-user

А как у вас при таком дизайне дело обстоит с адресами, /32 или больше? как траф бегает между абонентами?

Share this post


Link to post
Share on other sites
32 минуты назад, s.lobanov сказал:

на нормальном дизайне сети (vlan-per-user или хотя бы vlan-per-switch+port isolation) этой проблемы не существует, т.к. абоны не могут гадить друг другу на L2

 

dhcp-snooping это уродливый костыль, старайтесь не когда применять эту дрянь

vlan-per-user это уродливый костыль,  для не умеющих думать на 1 шаг вперед "дизайнеров сети, купивших на доступ всякое говножелезо без L3 фильтрации на порту абонента.

Прокидывать в ядро 100 тысяч вланов, лишь потому что вы не осиливаете настроить на порту фильтрацию мака абонента,  всякий броадкаст мусор, коректно выставить раззрешенные группы igmp и количество подписок?

Тот, кто такого не может - просто рукожоп. 

 

Это примерно похоже на утверждение что картошку лучше возить на ржавых жигулях или на деэ матизе ( микротик ) , а все эти ваши газели и баргузины - дрянь

 

Абсолютно разные уровни эволюции.  Первое - попытки хоть как то криво применить морально устаревшее офисное и ДЦ сетевое оборудование на абонентскую сеть оператора ( с ущербным выстраданным костылем типа vlan-per-user )  , и специализированное разработанное для сетей доступа профессиональное решение

 

 

 

Share this post


Link to post
Share on other sites
18 минут назад, maxkst сказал:

А как у вас при таком дизайне дело обстоит с адресами, /32 или больше? как траф бегает между абонентами?

с точки зрения абонента - если IPoE, то не /32, если pppoe, то там понятия маски нет с точки зрения абонента

Share this post


Link to post
Share on other sites
18 минут назад, maxkst сказал:

А как у вас при таком дизайне дело обстоит с адресами, /32 или больше? как траф бегает между абонентами?

к сожалению не смог понять как сделать ссылку на результаты поиска.

В общем у них тут  1774 темы про попоболь с ip unnumbered .  Вбейте последнее слово в поиск и посмотрите.

На что только не пойдут люди, чтоб не сделать по нормальному

 

Share this post


Link to post
Share on other sites
2 минуты назад, LostSoul сказал:

про попоболь с ip unnumbered

у вас траф между абонентами в пределах одного свича режется, или безлимитный?

Share this post


Link to post
Share on other sites

@LostSoul к сожаленью, dhcp-snooping это не L3-фильтрация. это как минимум L4-фильтрация, а по факту L7 и у всех вендоров делается на CPU (что приводит к эпическим фейлам при всяческом dhcp-флуде).

Любой отвод трафика на CPU свитча (кроме первых пакетов для mac-learning'а и igmp-snooping'а) это ошибка дизайна

 

Но это ещё полбеды. При внедрении dhcp-snooping'а - это делается для IPv4, а потом выясняется что для ipv6 не хватает подобных костылей и надо закупать другие свитчи

 

vlan-per-user просто решает все проблемы относительно L2-взаимодействия абонетов (левые dhcp-сервера, ipv6 ra и т.д.)

 

7 минут назад, LostSoul сказал:

к сожалению не смог понять как сделать ссылку на результаты поиска.

В общем у них тут  1774 темы про попоболь с ip unnumbered .  Вбейте последнее слово в поиск и посмотрите.

На что только не пойдут люди, чтоб не сделать по нормальному

 

ip unnumbered на l3-свитчах это ещё более уродливый костыль. правильное решение это терминирование vlan-per-user на bras'ах (для нищебродов есть и софт-версии брасов - тот же accel-pppd и что-то ещё было)

 

3 минуты назад, maxkst сказал:

у вас траф между абонентами в пределах одного свича режется, или безлимитный?

через точку терминирования, в пределах свитча трафик в ISP гонять не нужно, тупо всё через bras

 

Share this post


Link to post
Share on other sites
1 минуту назад, s.lobanov сказал:

Любой отвод трафика на CPU свитча (кроме первых пакетов для mac-learning'а и igmp-snooping'а) это ошибка дизайна

с этим согласен, чем больше идет на CPU, тем проеще завалить свич. У нас есть крутые zyxel на доступе, которые сдыхают от arp  )))

Share this post


Link to post
Share on other sites
15 минут назад, LostSoul сказал:

специализированное разработанное для сетей доступа профессиональное решение

 

dhcp-snooping придуман для сетей предприятий, где ради терминирования vlan-per-user ставить bras слишком дорого

 

на сетях предприятий все эти снупинги ещё более-менее живут. в сетях ISP это бесконечный траблшутинг софта свитчей (т.к. всё говно работает на CPU, а не в ASIC-е)

Share this post


Link to post
Share on other sites
5 минут назад, s.lobanov сказал:

через точку терминирования, в пределах свитча трафик в ISP гонять не нужно, тупо всё через bras

В вашем случае тут все понятно, это был вопрос Заблудшей Душе )))

Share this post


Link to post
Share on other sites
2 минуты назад, maxkst сказал:

с этим согласен, чем больше идет на CPU, тем проеще завалить свич. У нас есть крутые zyxel на доступе, которые сдыхают от arp  )))

Ну если аналоги CoPP'а ещё делают, но вот когда появляется очередной клиент, который шлёт dhcp-discover'ы как-нибудь не по rfc или по rfc, но неожиданным для свитча образом, то начинается веселуха, особенно когда свитч уже EoL/EoS

 

Только что, maxkst сказал:

В вашем случае тут все понятно, это был вопрос Заблудшей Душе )))

даже на мой взгляд, это не важно. ну т.е. если у вас абоны в одном vlan, изоляции нет, но есть dhcp-снупинги, nd-снупинги и прочая лабудень для защиты от dhcp-серверов,  ra-шек, статики и т.д., то ограничивать трафик между абонами особо и не надо, ну смогут два соседа сделать локалку на 100/1000 мбит/с, ну и что дальше? для isp это не важно (по крайней мере для b2c isp)

 

22 минуты назад, LostSoul сказал:

Прокидывать в ядро 100 тысяч вланов,

а в чём собственно проблема-то? если вы оборудование вручную настраиваете, то конечно тяжело, а если генератором по шаблону, то проблем нет

Share this post


Link to post
Share on other sites

@s.lobanov Если я правильно вас понял, то оптимальное решение - vlan-per-user , но  без  IP unnumbered. Так?

Edited by maxkst

Share this post


Link to post
Share on other sites
27 минут назад, maxkst сказал:

у вас траф между абонентами в пределах одного свича режется, или безлимитный?

в дизайне c IP MAC Binding обычно трафик между внутренними абонентами безлимитный.

Если стоит задача закрывать неплательщикам локалку то это решается несколькими путями.

( оставлять только страницу оплаты )

 

Share this post


Link to post
Share on other sites

@maxkst да. Без ip unnumbered на l3 ситчах.

 

Терминация ipoe vlan-per-user на брасах идеалогически похожа на ip unnumbered, но за счёт сущности 'сессия' и процессов вокруг неё, решает те самые тысячи проблем ip unnumbered на свитчах

 

С pppoe вообще всё просто, там брасу всё равно per-user у вас vlan или per-район как у пионеров. Для pppoe реже делают vlan-per-user, т.к. там vlan-per-switch + port isolation решает почти все l2 проблемы, присущие сетям-l2-помойкам (кроме макспуфа браса, но это решают hw mac acl)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now