Jump to content

Заблокировать мультикаст DES-3200/A1

roma33rus
 Share

Recommended Posts

roma33rus

roma33rus

Posted
Posted

Коллеги, всем привет.
Имею DES-3200-26 Firmware Version : Build 1.89.B002

Устал мучаться с нагрузкой CPU

1573748420_2023-12-2213-17-20.thumb.png.55661772b85e7bf995a9ca3a459e2d3c.png

 

Обнаружил, что на одном из портов идет дикий трафик мультикаста, там где его быть не должно вообще:

1237894187_2023-12-2213-20-16.thumb.png.530ba89c3f2df578ee4dfeae2657837f.png

 

Как с этим бороться?

 

multicast port_filtering_mode не помогает, шторм контроль не помогает.

 

В понедельник будем снимать дамп, посмотрим чего там за такой мультикаст интересный.

nixx

nixx

Posted
Posted

с вероятностью 95% предполагаю там сошедший с ума роутер, упорото пытающийся получить ipv6 адрес

зарежьте ethertype 0x86dd как в обычных ацль, так и в cpu acl

если, конечно, вы не пользуетесь ipv6

roma33rus

roma33rus

Posted
  • Author
Posted
32 минуты назад, nixx сказал:

с вероятностью 95% предполагаю там сошедший с ума роутер, упорото пытающийся получить ipv6 адрес

зарежьте ethertype 0x86dd как в обычных ацль, так и в cpu acl

если, конечно, вы не пользуетесь ipv6

не используем от слова совсем.

 

Спасибо. Сделаем так, отпишусь по результатам.

nixx

nixx

Posted
Posted

не помню точно. кажется, да - абонентский порт по-прежнему крутит счетчик приходящих, а на остальных портах, куда лился весь трафик с вредителя, он пропадает.

fractal

fractal

Posted
Posted
9 часов назад, roma33rus сказал:

@nixx я при блокировке все так же по сути должен видеть прилетающий от роутера трафик на его порт, куда он подключен?

Да, трафик так же будет виден, но уже не разлетаться далее

roma33rus

roma33rus

Posted
  • Author
Posted

Странненько. Вроде добавил в ACL: 

# ACL

create access_profile  ethernet  ethernet_type  profile_id 2
config access_profile profile_id 2  add access_id 1  ethernet  ethernet_type 0x86DD    port 3 deny
create cpu access_profile profile_id 1 ethernet  ethernet_type 
config cpu access_profile profile_id 1  add access_id 1  ethernet  ethernet_type 0x86DD    port 3 deny
enable cpu_interface_filtering

 

А загрузка CPU все равно не спала:

image.thumb.png.f5f08bea46af8980083855ce95a0a4ed.png

 

 

Может A серия не умеет резать ipv6

nixx

nixx

Posted
Posted

а мультикастовый pps на всех портах, кроме абонентского, пропал?

ну то есть вообще моя догадка о происхождении трафика верна?

roma33rus

roma33rus

Posted
  • Author
Posted
1 час назад, nixx сказал:

а мультикастовый pps на всех портах, кроме абонентского, пропал?

ну то есть вообще моя догадка о происхождении трафика верна?

его кстати нигде и не было, кроме этого 3 порта. даже на аплинке нет.

nixx

nixx

Posted
Posted

я вспомнил, извините (если всё же это ipv6):

https://forum.dlink.ru/viewtopic.php?f=2&t=180217

сделайте:

create access_profile  packet_content_mask   offset1 l2 0 0xFFFF  profile_id 5

config access_profile profile_id 5  add access_id 1  packet_content   offset1 0x86dd port 1-24 deny

и посмотрите еще раз на результат

cpu profile оставьте как есть

roma33rus

roma33rus

Posted
  • Author
Posted
3 часа назад, nixx сказал:

я вспомнил, извините (если всё же это ipv6):

https://forum.dlink.ru/viewtopic.php?f=2&t=180217

сделайте:

create access_profile  packet_content_mask   offset1 l2 0 0xFFFF  profile_id 5

config access_profile profile_id 5  add access_id 1  packet_content   offset1 0x86dd port 1-24 deny

и посмотрите еще раз на результат

cpu profile оставьте как есть


о. Спасибо большое. Сейчас новое правило опробую. Честно говоря, никогда ничего не резал через packet content.

Negator

Negator

Posted
Posted
В 24.12.2023 в 01:35, nixx сказал:

не помню точно. кажется, да - абонентский порт по-прежнему крутит счетчик приходящих, а на остальных портах, куда лился весь трафик с вредителя, он пропадает.

 

Конечно. Как бы вы не блокировали или ограничивали мультикаст (там же traffic control  например) - на порт свича он уже прилетел от клиента. И сделать с этим ничего нельзя.

А вот на вышестоящих уже не будет его если корректно заблокировали.

И да - есть вероятность что железке от такого может поплохеть.

roma33rus

roma33rus

Posted
  • Author
Posted (edited)
8 часов назад, Negator сказал:

 

Конечно. Как бы вы не блокировали или ограничивали мультикаст (там же traffic control  например) - на порт свича он уже прилетел от клиента. И сделать с этим ничего нельзя.

А вот на вышестоящих уже не будет его если корректно заблокировали.

И да - есть вероятность что железке от такого может поплохеть.

К сожалению советы коллеги выше не помогли избавиться от нагрузки. Поплохеть кстати может даже при блокировке?

 

ну может в порт и не dhcp v6 льется. Дамп трафика еще не сняли. 
 

@nixx коллега, в любом спасибо и плюсик в карму.

Edited by roma33rus
PumpIT

PumpIT

Posted
Posted

Тоже начали вешаться пара коммутаторов, один 3200-28, другой 3120-24SC, применили такие правила на CPU, пока что не отваливались: 

#CPU Interface Filter



create cpu access_profile profile_id 1 ip destination_ip_mask 240.0.0.0

config cpu access_profile profile_id 1 add access_id 1 ip destination_ip 224.0.0.0 port 1-24 deny

enable cpu_interface_filtering

 

Negator

Negator

Posted
Posted
В 25.12.2023 в 23:08, roma33rus сказал:

К сожалению советы коллеги выше не помогли избавиться от нагрузки. Поплохеть кстати может даже при блокировке?

 

ну может в порт и не dhcp v6 льется. Дамп трафика еще не сняли. 
 

@nixx коллега, в любом спасибо и плюсик в карму.

Да, может. Потому что мультикаст уже прилетел на железку и льется в проц.

 

Мы блокируем ipv6 полностью по Ethertype 0x86dd на конечных железках.

+ traffic control

Обычно проблем нет.

roma33rus

roma33rus

Posted
  • Author
Posted
18 часов назад, Negator сказал:

Да, может. Потому что мультикаст уже прилетел на железку и льется в проц.

 

Мы блокируем ipv6 полностью по Ethertype 0x86dd на конечных железках.

+ traffic control

Обычно проблем нет.

а у Вас какие железки используются?

roma33rus

roma33rus

Posted
  • Author
Posted
5 минут назад, VolanD666 сказал:

А та клиент подключен? Нельзя ему заблочить порт штормконтролом, пока он не решит проблему? 🙂

ага. Один клиент, правда юрлицо. Да и хочется такие конфузы решать, не беспокоя клиента.

 

P.S.: штормконтроль вообще не спасает. Никак.

nixx

nixx

Posted
Posted

если таки точно dhcpv6, то советую прошивку обновить

должно резаться.

и спрошу наивное: у вас никаких разрешающих ацлек перед запрещающими нет?

roma33rus

roma33rus

Posted
  • Author
Posted
4 часа назад, nixx сказал:

если таки точно dhcpv6, то советую прошивку обновить

должно резаться.

и спрошу наивное: у вас никаких разрешающих ацлек перед запрещающими нет?

Точно dhcpv6. Выше кусок дампа показал. Прошивку последнюю поставил. 1.91.007.  Даже добавленное правило со счетчиком не тикает. Че т здесь не то.

 

список acl у меня пустой, эти (блокирующие) единственные правила.

 

Завтра будем менять на C1 серию. Моя не понимать почему здесь acl не помогает.

roma33rus

roma33rus

Posted
  • Author
Posted
16 минут назад, Умник сказал:

На С1 командой "show cpu port" можно смотреть, какие протоколы валятся на CPU.

На А1 такая ж фича есть. DHCP в топе конечно у меня 

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.