Перейти к содержимому
Калькуляторы

чужой dhcp сервер в сети

Доброго дня, поделитесь пожалуста знаниями по борьбе с чужими dhcp серверами. Проблемма возникла когда один из клиентов подключил в сеть роутер неправильно. На микротике индикация подключения чужого dhcp сервера есть, сделал правило чтоб данный мак блокировался, на своем интерфецсе который раздает ip, прописал еше другие адреса т.е интерфейс lan ip=172.16.0.1 (=dhcp server) + еше прописал адреса типа 192.168.0.1/192.168.1.1 и т.д, но все равно не всегда спасает. Некоторые свичи имеют защиту от dhcp spoofing-а а некоторые нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На нормальном оборудовании это называется DHCP Snooping, к которому прилагается (в зависимости от вендора) trust, screening, ip-mac-port-binding.

На микротиках с этим ничего на L2 сделать не получится, терпите. Либо максимально сегментируйте сети, а то что не получается сегментировать, туннелируйте в PPPoE.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 minutes ago, iraklizh said:

Некоторые свичи имеют защиту от dhcp spoofing-а а некоторые нет.

Меняйте свитчи. Отстрел левых dhcp делается на access-уровне.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Но даже на том оборудовании где такого нету, можно через ACL запретить все DCHP ответы  , исходящие  с абонентских портов.

 

 

Только что, zdutpdzi сказал:

Меняйте свитчи. Отстрел левых dhcp делается на access-уровне. 

есть вполне рабочая в нищие времена технология, по исчерпанию пула левого DHCP.

стоит в центре демон в 50 строк на перле, выжирает весь пулл и переодически просит ещё :-)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну костыли конечно никто не отменял. Но лучше сразу делать сеть хорошо,чтобы потом не разгребать авгиевые конюшни. )))

 

3 minutes ago, LostSoul said:

Но даже на том оборудовании где такого нету, можно через ACL запретить все DCHP ответы  , исходящие  с абонентских портов.

Где-то видел древнюю статью для длинка,вроде там не dhcp,а левые pppoe-сервера в вилане выпиливались acl'ом или что-то похожее,могу запамятовать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

10 минут назад, zdutpdzi сказал:

Где-то видел древнюю статью для длинка,вроде там не dhcp,а левые pppoe-сервера в вилане выпиливались acl'ом или что-то похожее,могу запамятовать.

не знаю как с DLink , а на любимых Saab95 микротиках с этим приходится бороться именно так.

Хоть он тут и топит за L3 на абонента, я лично не понимаю как выдавать ip unnumbered на всякие роутеры, которые этого не умеют.

Поэтому делаю нормальные L2 с фильтрацией на порту абонента лишнего.

Ну у меня микротиков в роли acсess всего несколько штук.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 Спасибо!

будем тихо-тихо менять абонентское оборудование!

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В моей схеме с L3, не важно какое оборудование у абонента, ему выдается подсеть /24, но использовать в ней он может только свой IP. Адрес можно прописать вручную, а можно получить по DHCP. Поэтому если сеть не управляемая - делать PPPoE, если коммутаторы умеют вланы - сделать влан на порт и на каждый влан свой IP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

34 минуты назад, Saab95 сказал:

В моей схеме с L3, не важно какое оборудование у абонента, ему выдается подсеть /24,

и как он тогда видит соседей по этой сети /24 ? через 254 proxyarp записей что ли?

 

 

34 минуты назад, Saab95 сказал:

Поэтому если сеть не управляемая - делать PPPoE, если коммутаторы умеют вланы - сделать влан на порт и на каждый влан свой IP.

людей, постоянно пытающихся увеличить энтропию , проводя излишние инкапсуляции одного в другое нужно от отрасли связи держать подальше кмк

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

7 часов назад, LostSoul сказал:

и как он тогда видит соседей по этой сети /24 ?

Насколько я понимаю, далеко не всех это волнует

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

на нормальном дизайне сети (vlan-per-user или хотя бы vlan-per-switch+port isolation) этой проблемы не существует, т.к. абоны не могут гадить друг другу на L2

 

dhcp-snooping это уродливый костыль, старайтесь не когда применять эту дрянь

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

16 минут назад, s.lobanov сказал:

на нормальном дизайне сети (vlan-per-user

А как у вас при таком дизайне дело обстоит с адресами, /32 или больше? как траф бегает между абонентами?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

32 минуты назад, s.lobanov сказал:

на нормальном дизайне сети (vlan-per-user или хотя бы vlan-per-switch+port isolation) этой проблемы не существует, т.к. абоны не могут гадить друг другу на L2

 

dhcp-snooping это уродливый костыль, старайтесь не когда применять эту дрянь

vlan-per-user это уродливый костыль,  для не умеющих думать на 1 шаг вперед "дизайнеров сети, купивших на доступ всякое говножелезо без L3 фильтрации на порту абонента.

Прокидывать в ядро 100 тысяч вланов, лишь потому что вы не осиливаете настроить на порту фильтрацию мака абонента,  всякий броадкаст мусор, коректно выставить раззрешенные группы igmp и количество подписок?

Тот, кто такого не может - просто рукожоп. 

 

Это примерно похоже на утверждение что картошку лучше возить на ржавых жигулях или на деэ матизе ( микротик ) , а все эти ваши газели и баргузины - дрянь

 

Абсолютно разные уровни эволюции.  Первое - попытки хоть как то криво применить морально устаревшее офисное и ДЦ сетевое оборудование на абонентскую сеть оператора ( с ущербным выстраданным костылем типа vlan-per-user )  , и специализированное разработанное для сетей доступа профессиональное решение

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

18 минут назад, maxkst сказал:

А как у вас при таком дизайне дело обстоит с адресами, /32 или больше? как траф бегает между абонентами?

с точки зрения абонента - если IPoE, то не /32, если pppoe, то там понятия маски нет с точки зрения абонента

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

18 минут назад, maxkst сказал:

А как у вас при таком дизайне дело обстоит с адресами, /32 или больше? как траф бегает между абонентами?

к сожалению не смог понять как сделать ссылку на результаты поиска.

В общем у них тут  1774 темы про попоболь с ip unnumbered .  Вбейте последнее слово в поиск и посмотрите.

На что только не пойдут люди, чтоб не сделать по нормальному

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 минуты назад, LostSoul сказал:

про попоболь с ip unnumbered

у вас траф между абонентами в пределах одного свича режется, или безлимитный?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@LostSoul к сожаленью, dhcp-snooping это не L3-фильтрация. это как минимум L4-фильтрация, а по факту L7 и у всех вендоров делается на CPU (что приводит к эпическим фейлам при всяческом dhcp-флуде).

Любой отвод трафика на CPU свитча (кроме первых пакетов для mac-learning'а и igmp-snooping'а) это ошибка дизайна

 

Но это ещё полбеды. При внедрении dhcp-snooping'а - это делается для IPv4, а потом выясняется что для ipv6 не хватает подобных костылей и надо закупать другие свитчи

 

vlan-per-user просто решает все проблемы относительно L2-взаимодействия абонетов (левые dhcp-сервера, ipv6 ra и т.д.)

 

7 минут назад, LostSoul сказал:

к сожалению не смог понять как сделать ссылку на результаты поиска.

В общем у них тут  1774 темы про попоболь с ip unnumbered .  Вбейте последнее слово в поиск и посмотрите.

На что только не пойдут люди, чтоб не сделать по нормальному

 

ip unnumbered на l3-свитчах это ещё более уродливый костыль. правильное решение это терминирование vlan-per-user на bras'ах (для нищебродов есть и софт-версии брасов - тот же accel-pppd и что-то ещё было)

 

3 минуты назад, maxkst сказал:

у вас траф между абонентами в пределах одного свича режется, или безлимитный?

через точку терминирования, в пределах свитча трафик в ISP гонять не нужно, тупо всё через bras

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, s.lobanov сказал:

Любой отвод трафика на CPU свитча (кроме первых пакетов для mac-learning'а и igmp-snooping'а) это ошибка дизайна

с этим согласен, чем больше идет на CPU, тем проеще завалить свич. У нас есть крутые zyxel на доступе, которые сдыхают от arp  )))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

15 минут назад, LostSoul сказал:

специализированное разработанное для сетей доступа профессиональное решение

 

dhcp-snooping придуман для сетей предприятий, где ради терминирования vlan-per-user ставить bras слишком дорого

 

на сетях предприятий все эти снупинги ещё более-менее живут. в сетях ISP это бесконечный траблшутинг софта свитчей (т.к. всё говно работает на CPU, а не в ASIC-е)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

5 минут назад, s.lobanov сказал:

через точку терминирования, в пределах свитча трафик в ISP гонять не нужно, тупо всё через bras

В вашем случае тут все понятно, это был вопрос Заблудшей Душе )))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 минуты назад, maxkst сказал:

с этим согласен, чем больше идет на CPU, тем проеще завалить свич. У нас есть крутые zyxel на доступе, которые сдыхают от arp  )))

Ну если аналоги CoPP'а ещё делают, но вот когда появляется очередной клиент, который шлёт dhcp-discover'ы как-нибудь не по rfc или по rfc, но неожиданным для свитча образом, то начинается веселуха, особенно когда свитч уже EoL/EoS

 

Только что, maxkst сказал:

В вашем случае тут все понятно, это был вопрос Заблудшей Душе )))

даже на мой взгляд, это не важно. ну т.е. если у вас абоны в одном vlan, изоляции нет, но есть dhcp-снупинги, nd-снупинги и прочая лабудень для защиты от dhcp-серверов,  ra-шек, статики и т.д., то ограничивать трафик между абонами особо и не надо, ну смогут два соседа сделать локалку на 100/1000 мбит/с, ну и что дальше? для isp это не важно (по крайней мере для b2c isp)

 

22 минуты назад, LostSoul сказал:

Прокидывать в ядро 100 тысяч вланов,

а в чём собственно проблема-то? если вы оборудование вручную настраиваете, то конечно тяжело, а если генератором по шаблону, то проблем нет

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@s.lobanov Если я правильно вас понял, то оптимальное решение - vlan-per-user , но  без  IP unnumbered. Так?

Изменено пользователем maxkst

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

27 минут назад, maxkst сказал:

у вас траф между абонентами в пределах одного свича режется, или безлимитный?

в дизайне c IP MAC Binding обычно трафик между внутренними абонентами безлимитный.

Если стоит задача закрывать неплательщикам локалку то это решается несколькими путями.

( оставлять только страницу оплаты )

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@maxkst да. Без ip unnumbered на l3 ситчах.

 

Терминация ipoe vlan-per-user на брасах идеалогически похожа на ip unnumbered, но за счёт сущности 'сессия' и процессов вокруг неё, решает те самые тысячи проблем ip unnumbered на свитчах

 

С pppoe вообще всё просто, там брасу всё равно per-user у вас vlan или per-район как у пионеров. Для pppoe реже делают vlan-per-user, т.к. там vlan-per-switch + port isolation решает почти все l2 проблемы, присущие сетям-l2-помойкам (кроме макспуфа браса, но это решают hw mac acl)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.