Wolfnet Posted February 27, 2008 Posted February 27, 2008 Всем доброго времени суток! Возникла необходимость перерабатывать существующую сеть, т.к. запущена она довольно сильно. В связи с недостатком опыта решил задать вопрос специалистам)) Сначала описание сети района. Около 300 клиентов, в качестве абонентского свича используются Edge-Core ES3526, либо D-Link 1226G. Центральный свитч - Edge-Core ES4612. Адреса клиентов белые, раздача по DHCP с привязкой по маку. Варианты: 1. Схема типа Vlan на клиента. Если правильно понял, такая схема реализуется с помощью завершения Vlan-ов на центральном свиче микрорайона, с помощью маршрутизации в другой Vlan. Требуется 4 Ip адреса на клиента, то есть при использовании белых IP - разбазаривание жуткое )). Если это так, такая схема не подходит. 2. Схема типа Vlan на дом или группу домов. Та же ситуация, + еще злоумышленнику есть где развернуться ) 3. 1 Vlan на физиков, 1 на юр. лиц, 1 на менеджмент. Привязку физиков делаем прямо на портах свичей с помощью Extended ACL. Вяжем IP - порт. Управление в отдельном вилане, + 1 порт настроенный, чтобы воткнуться ноутом, если что. Виланы доводим непосредственно до центрального свича сети. Включаем Broadcast Control. А теперь вопрос! Решили применять схему номер 3. Правильны ли мои рассуждения по всем трём пунктам? Чем грозит использование схемы номер 3? Вставить ник Quote
ingress Posted February 27, 2008 Posted February 27, 2008 (edited) если берёшь EC3526, то обязательно требуй 2ую версию, ценник такой же, а возможности как у 3528(почти :) ) 4612 - тупая молотилка недалеко ушедшая от рефересного броадкомовского дизайна. в 4624(6) уже вкусное метро начинается. так что лучше влан на дом я бы поставил ME3400 гигабитный 12 портовый :) ну или АТ x900 попробовал ;) привязка - свич-порт, никаки маков. DHCP + Opt82 + DHCP Snooping + IP Source Guard(динамический) нету только арп снупинга, но обещают :) один влан на всех - крайне некрасиво, даже если всё управляемое. только адреса белые экономить :) Edited February 27, 2008 by ingress Вставить ник Quote
Wolfnet Posted February 27, 2008 Author Posted February 27, 2008 если берёшь EC3526, то обязательно требуй 2ую версию, ценник такой же, а возможности как у 3528(почти :) ) 4612 - лучше влан на дом + DHCP + Opt82 + DHCP Snooping + IP Source Guard нету только арп снупинга, но обещают :) один влан на всех - крайне некрасиво, даже если всё управляемое. только адреса белые экономить :) Стоят на некоторых домах и 3528.Есть еще проблемка, практически все адреса розданы )) была подсеть/25, щас забита вся. Т.е. применяя такую схему придется у кого то адреса отбирать, выдавать другие, гемморой ) Чем всё же плохо 1 влан на всех? Вставить ник Quote
ingress Posted February 27, 2008 Posted February 27, 2008 Чем всё же плохо 1 влан на всех? скажу так, отвлекаясь от оборудования и методов защиты, чем меньше сегмент и чем их больше, тем меньше шанс в один прекрасный момент один очень умный/глупый долбоёб положит как можно большее количество машин очередной L2 атакой. Вставить ник Quote
Come Posted February 27, 2008 Posted February 27, 2008 (edited) Edge-Core ES3526 - дырявая железка, в ней мульткаст до сих пор не работает, хотя если он нужен и денег нет, то в длинк уже лучше Dlink, там хоть дырки зализали. вообще у еджекоре с софтом все как то не очень пока :( (пока длится года полтора :) ) если хотите дешево, и клиентов мало, возьмите на доступ по свичу хотя бы с 2 vlan на порт (из диапазона 4к), и в центр поставьте нормальную молотилку с QinQ selective (писал уже тут про это, нужен с гигабитами аналог ME3400). Собственно получите и VLAN на пользователя (но с ручной настройкой), и VLAN на юриков еще останется и на менеджмент. А делать 1 Vlan на всех и с ACL- как уже тут писали -это полный писец и ахтунг. Экономия тут может вылится в большие потери. Edited February 27, 2008 by Come Вставить ник Quote
ingress Posted February 27, 2008 Posted February 27, 2008 Edge-Core ES3526 - дырявая железка, в ней мульткаст до сих пор не работает, хотя если нужен он и денег нет, то в длинк дорогавообще у еджекоре с софтом все как то не очень пока :( всмысле не работает :) у меня на стенде всё работает, в том числе с MVR и IGMP Fast Leave. всё корректно обрабатывает. Вставить ник Quote
Wolfnet Posted February 27, 2008 Author Posted February 27, 2008 скажу так, отвлекаясь от оборудования и методов защиты, чем меньше сегмент и чем их больше, тем меньше шанс в один прекрасный момент один очень умный/глупый долбоёб положит как можно большее количество машин очередной L2 атакой. То есть просто уменьшение размера сегмента. Подумаем... А про терминацию вланов я хоть правильно понял? Т.е. маршрутизировать на 3 уровне? На центральном свиче района? А то теоретическая инфа не помогает, а практической крайне мало... Спасибо заранее. Вставить ник Quote
ingress Posted February 27, 2008 Posted February 27, 2008 (edited) кстати можно оставить адреса, только поставить в центр Cisco 4500/6500, у которых есть такая вещь в софте как ip unnumbered on SVIs т.е. до каждого пользователя идёт влан, на сиське в каждом svi прописывается ip unnumbered lo0, включается прокси арп, а на lo0 вешается жирная белая сетка. весь траф будет ходить через центр. Edited February 27, 2008 by ingress Вставить ник Quote
Come Posted February 27, 2008 Posted February 27, 2008 Edge-Core ES3526 - дырявая железка, в ней мульткаст до сих пор не работает, хотя если нужен он и денег нет, то в длинк дорогавообще у еджекоре с софтом все как то не очень пока :( всмысле не работает :) у меня на стенде всё работает, в том числе с MVR и IGMP Fast Leave. всё корректно обрабатывает. волшебный экземпляр или с очередной новой прошивкой? (решающей старые баги и добавляющей новые) суть проблемы - данный свич походу вообще с мультикастом не дружит, и копирует мультикаст не на конкретный порт, а на все куда разрешен мультикаст (посмотрите на них активность). Fast leave не отрабатывает - отрубается 10 секунд по таймауту.С MVR все нормально, но на фоне бесплатной рассылки на порты соседей это не важно. Вставить ник Quote
ingress Posted February 27, 2008 Posted February 27, 2008 (edited) Edge-Core ES3526 - дырявая железка, в ней мульткаст до сих пор не работает, хотя если нужен он и денег нет, то в длинк дорогавообще у еджекоре с софтом все как то не очень пока :( всмысле не работает :) у меня на стенде всё работает, в том числе с MVR и IGMP Fast Leave. всё корректно обрабатывает. волшебный экземпляр или с очередной новой прошивкой? (решающей старые баги и добавляющей новые) суть проблемы - данный свич походу вообще с мультикастом не дружит, и копирует мультикаст не на конкретный порт, а на все куда разрешен мультикаст (посмотрите на них активность). Fast leave не отрабатывает - отрубается 10 секунд по таймауту.С MVR все нормально, но на фоне бесплатной рассылки на порты соседей это не важно. давайте сравним п***... прошивки :) Agent (master) Unit ID: 1 Loader version: 2.2.1.4 Boot ROM version: 2.3.0.0 Operation code version: 2.3.3.4 и про длинк вспоминать не будем, как они там свои прошивки лизали, и какие там глюки были, и ценник на него не оправдано завышен, потому что вылизали в что то более менее вменяемое :) но про вентиляторы, электролиты и панели до сих пор песни в соседних топиках поют ;) Edited February 27, 2008 by ingress Вставить ник Quote
Алексей Андриянов Posted February 28, 2008 Posted February 28, 2008 (edited) Чем всё же плохо 1 влан на всех? скажу так, отвлекаясь от оборудования и методов защиты, чем меньше сегмент и чем их больше, тем меньше шанс в один прекрасный момент один очень умный/глупый долбоёб положит как можно большее количество машин очередной L2 атакой. А делать 1 Vlan на всех и с ACL- как уже тут писали -это полный писец и ахтунг. Экономия тут может вылится в большие потери. Можете привести пример такой атаки? Мне что-то в голову не приходит. От подделки IP-адреса в IP и ARP-пакетах защитит ACL, от source-MAC-спуфинга - небольшое максимальное количество MAC на порт, от broadcast/mcast - storm control, от петель - loopback detection и STP. Что еще этот ваш долбоёб на L2 сможет сделать? Edited February 28, 2008 by Алексей Андриянов Вставить ник Quote
ingress Posted February 28, 2008 Posted February 28, 2008 (edited) Чем всё же плохо 1 влан на всех? скажу так, отвлекаясь от оборудования и методов защиты, чем меньше сегмент и чем их больше, тем меньше шанс в один прекрасный момент один очень умный/глупый долбоёб положит как можно большее количество машин очередной L2 атакой. А делать 1 Vlan на всех и с ACL- как уже тут писали -это полный писец и ахтунг. Экономия тут может вылится в большие потери. Можете привести пример такой атаки? Мне что-то в голову не приходит. От подделки IP-адреса в IP и ARP-пакетах защитит ACL, от source-MAC-спуфинга - небольшое максимальное количество MAC на порт, от broadcast/mcast - storm control, от петель - loopback detection и STP. Что еще этот ваш долбоёб на L2 сможет сделать? я немного не закончил мысль, от броадкаст-мультикаст атак любого уровня у клиента стоит в основном винда, в ней служб всяких тьма тьмущая, всякие SSDP, UPnP, и прочего говна пользовательского типа броадкаст-мультикаст чатов конечно вы можете сказать, да я всё это зарежу на своём любимом длинке но есть 2 варианта: 1.вот теперь представьте - приходит IPv6 (который в висте уже из коробки) и ваши все фичастые ACL которые режут всё это, перестают работать. выкидываете весь доступ и ставите заново(деньги на ветер) 2.всего не упомнишь что там появилось, и всё не закроешь, что нить да проскочет. а ещё хуже, к этому моменту закончатся ресурсы коммутатора. и что делать? смотреть как очередная зараза распостраняется через очередную дыру в оси? так вот, на мой взгляд, предел сегментирования - vlan per user, и позволяет убрать вообще возможность обмена любым броадкаст-мультикастом между пользователем, к тому же при использовании в качестве терминатора BRAS, вырезать остальной трафик как угодно, а на доступе иметь "тупое" "дубовое" оборудование, которое умеет dot1q и стоит копейки. Edited February 28, 2008 by ingress Вставить ник Quote
Come Posted February 28, 2008 Posted February 28, 2008 Чем всё же плохо 1 влан на всех? скажу так, отвлекаясь от оборудования и методов защиты, чем меньше сегмент и чем их больше, тем меньше шанс в один прекрасный момент один очень умный/глупый долбоёб положит как можно большее количество машин очередной L2 атакой. А делать 1 Vlan на всех и с ACL- как уже тут писали -это полный писец и ахтунг. Экономия тут может вылится в большие потери. Можете привести пример такой атаки? Мне что-то в голову не приходит. От подделки IP-адреса в IP и ARP-пакетах защитит ACL, от source-MAC-спуфинга - небольшое максимальное количество MAC на порт, от broadcast/mcast - storm control, от петель - loopback detection и STP. Что еще этот ваш долбоёб на L2 сможет сделать? Мне кажется глупо спорить, если никто не принимает во внимание доводы опонентов :) (в ARP атаке ничего не меняется ни IP ни MAC на порту абонента. Учите матчасть :) а ACL вносят небольшую, но задержу. можно еще раз дать ссылку http://xgu.ru/wiki/ARP-spoofing и в принципе можно и Dlink использовать, только кольца не стройте на нем, а включайте в свич L3. просто строить сети с MAC, IP привязкой ДОРОГО, а так же их ДОРОГО обслуживать и персперктив у них в будующем НЕТ. Про IPV6 - конечно нафиг он не нужен и пугают им уже много лет. Вставить ник Quote
Алексей Андриянов Posted February 28, 2008 Posted February 28, 2008 Ну положим IPv6 - не проблема для тех, кто не собирается его внедрять, а таких - тьма. Чем там будут обмениваться два умника в своем сегменте, прописавшие себе IPv6-адреса - никого в общем не интересует, маршрутизатор их дальше сегмента не выпустит. По пользовательскиму broadcast-софту - это дело вкуса. Многим нравится, когда у них в сетевом окружении видятся компы соседей или в играх автоматически определяются доступные сервера. Если не давать засылать broadcast на большой скорости, то ничего плохого в нем нет. А вот возможность оберегать пользователей от новых зараз, поражающих ОС и резать любой неугодный трафик действительно ценна, как и теоретическая возможность учета локального трафика. Но для этого нужно действительно серьезное оборудование на терминацию туннелей или VLAN, и экономическая целесообразность сомнительна. Но скажу сразу, боевого опыта применения у меня нет, мы только собираемся строить сеть с использованием по одному VLAN где-то на 200 пользователей, с ACL на клиентских портах и разрешенным broadcast. Поэтому и излагаю свои мысли, может, меня тут переубедят :) Вставить ник Quote
Алексей Андриянов Posted February 28, 2008 Posted February 28, 2008 Мне кажется глупо спорить, если никто не принимает во внимание доводы опонентов :) (в ARP атаке ничего не меняется ни IP ни MAC на порту абонента. Учите матчасть :) а ACL вносят небольшую, но задержу. можно еще раз дать ссылку http://xgu.ru/wiki/ARP-spoofing Точно, доводов оппонента не понимают и не принимают. ARP-спуфинг можно исключить с помощью ACL. В теле ARP-пакета прописан IP-адрес, именно его вы и фильтруете так же, как и source IP в IP-пакетах. Именно он и подменяется злоумышленником на IP-адрес другого компьютера. Вставить ник Quote
Come Posted March 1, 2008 Posted March 1, 2008 Мне кажется глупо спорить, если никто не принимает во внимание доводы опонентов :) (в ARP атаке ничего не меняется ни IP ни MAC на порту абонента. Учите матчасть :) а ACL вносят небольшую, но задержу. можно еще раз дать ссылку http://xgu.ru/wiki/ARP-spoofing Точно, доводов оппонента не понимают и не принимают. ARP-спуфинг можно исключить с помощью ACL. В теле ARP-пакета прописан IP-адрес, именно его вы и фильтруете так же, как и source IP в IP-пакетах. Именно он и подменяется злоумышленником на IP-адрес другого компьютера. да почти все верно, только ARP пакет это не IP пакет...проверю на следующей недельке с 3526. но ACL тоже не выход, вы считали сколько их вам на порт нужно создать? для разного трафика, для защиты от небиоса и т.д.? А следить, что бы в 1000 и более свичей это все будет выставленно? :) в общем еще раз повторюсь, дорого делать сеть на одних ACL да и не персперктивно. Вставить ник Quote
Алексей Андриянов Posted March 3, 2008 Posted March 3, 2008 да почти все верно, только ARP пакет это не IP пакет...проверю на следующей недельке с 3526. Конечно, этот адрес в ARP-пакете будет расположен с другим смещением, нежели чем в IP-пакете, если вы об этом. но ACL тоже не выход, вы считали сколько их вам на порт нужно создать?Если говорить конкретно об ACL в DES-3526, то считал. У меня получилось 5 "основопологающих" Access-profile : permit ARP, deny ARP, permit IP, deny IP, deny DHCP. Еще есть в запасе 4 access-профиля, на 2 пары permit-deny. В ограничение на правила на порт вообще трудно упереться, там около 200 правил на группу (октет) портов. Вполне хватает, чтобы обезопаситься от злонамеренных действий пользователя. А от непреднамеренных действий пользователя (вирусов и т.п.) вы и с BRAS не очень-то убережетесь - все равно будет пролезать там, где есть локалка. Пользователям проще растолковать про firewall, чем все новые заразы отслеживать и в центре зарубать. Насчет дешевизны схемы VLAN-per-client и т.п. - предложите решение дешевле для моих объемов (40 домовых коммутаторов, маленький район) - 40 * DES-3526 + 2 * DGS-3627G + 80 * SFP = 550 000 руб (это грубо так). Только железо, понятно, должно быть новое. И чтобы не загиналось на 1000 SVI со всеми вашими ACL в центре. Вставить ник Quote
Come Posted March 4, 2008 Posted March 4, 2008 да почти все верно, только ARP пакет это не IP пакет...проверю на следующей недельке с 3526. Конечно, этот адрес в ARP-пакете будет расположен с другим смещением, нежели чем в IP-пакете, если вы об этом. но ACL тоже не выход, вы считали сколько их вам на порт нужно создать?Если говорить конкретно об ACL в DES-3526, то считал. У меня получилось 5 "основопологающих" Access-profile : permit ARP, deny ARP, permit IP, deny IP, deny DHCP. Еще есть в запасе 4 access-профиля, на 2 пары permit-deny. В ограничение на правила на порт вообще трудно упереться, там около 200 правил на группу (октет) портов. Вполне хватает, чтобы обезопаситься от злонамеренных действий пользователя. А от непреднамеренных действий пользователя (вирусов и т.п.) вы и с BRAS не очень-то убережетесь - все равно будет пролезать там, где есть локалка. Пользователям проще растолковать про firewall, чем все новые заразы отслеживать и в центре зарубать. Насчет дешевизны схемы VLAN-per-client и т.п. - предложите решение дешевле для моих объемов (40 домовых коммутаторов, маленький район) - 40 * DES-3526 + 2 * DGS-3627G + 80 * SFP = 550 000 руб (это грубо так). Только железо, понятно, должно быть новое. И чтобы не загиналось на 1000 SVI со всеми вашими ACL в центре. А сколько всего ACL вам будет нужно, что бы:1) закрыть все дырки и защитится от атак. 2) выставить приоритеты на трафик VoIP, на Интернет, на IP TV .. Не знаю как Вы считали, у меня есть цены GPL от кьютека (уже давал раньше ссылки), так подобное решение стоит 603 000 рублей. Это так не грубо, а по рознице... Может я чего не понимаю, но ведь тестили, работает. Вставить ник Quote
sbca Posted March 4, 2008 Posted March 4, 2008 Если говорить конкретно об ACL в DES-3526, то считал. У меня получилось 5 "основопологающих" Access-profile : permit ARP, deny ARP, permit IP, deny IP, deny DHCP. Еще есть в запасе 4 access-профиля, на 2 пары permit-deny. Еще бы неплохо запретить протоколы отличные от ARP, IP Если у Вас используется PPPoE, то разрешить его и придумать как защищаться от лже PPPoE аксес-концентраторов. Если планируется IPTV, то ещё ограничить испускаемый клиентом мультикаст трафик, дабы как минимум не дать возможность вещать на адресах, которые у Вас зяняты под IPTV. А так же было бы неплохо иметь возможность ограничивать доступ к сети неплательщиков не просто опусканием порта, а ограничением доступных им ресурсов (например, разрешив доступ только к личному кабинету, чтобы клиент мог знать свою задолженноость и имел возможность пополнить счет картой экспресс-оплаты) Вставить ник Quote
vIv Posted March 4, 2008 Posted March 4, 2008 Edge-Core ES3526 - дырявая железка, в ней мульткаст до сих пор не работает, хотя если он нужен и денег нет, то в длинк уже лучше Dlink, там хоть дырки зализали. Что именно "не работает"? Там-то как-раз полноценный MVR, причём вылизаный. Вставить ник Quote
Алексей Андриянов Posted March 4, 2008 Posted March 4, 2008 sbca, спасибо за советы. Но PPPoE не используем, для ограничение на испускаемый multicast в 3526 есть отдельная функция, никак не связанная с access-profile, а выключать доступ планируем переводом в другой VLAN, где http-запросы будут заворачиваться в личный кабинет. Вставить ник Quote
Come Posted March 4, 2008 Posted March 4, 2008 Алексей, так все таки сколько ACL нужно для безопасной жизни абонента в одном в одном VLAN? где не только интернет нужен? Вставить ник Quote
sbca Posted March 5, 2008 Posted March 5, 2008 для ограничение на испускаемый multicast в 3526 есть отдельная функция. что-то не нашёл такой. там есть возможность ограничить подписку на определенные группы, есть возможность установить ограничение по скорости для испускаемого мультикаст и широковещательного трафика. но как запретить отправку мультикаст отличного от IGMP - я не нашёл. Вставить ник Quote
Come Posted March 7, 2008 Posted March 7, 2008 Видимо ее и нет, удивляюсь как люди мучаются, изобретают велосипед (хотя это интересно), но пытаются всех засунуть в один VLAN :( Вставить ник Quote
X-RaY™ Posted April 7, 2008 Posted April 7, 2008 Кто что порекомендовать может из варианта "так вот, на мой взгляд, предел сегментирования - vlan per user, и позволяет убрать вообще возможность обмена любым броадкаст-мультикастом между пользователем, к тому же при использовании в качестве терминатора BRAS, вырезать остальной трафик как угодно, а на доступе иметь "тупое" "дубовое" оборудование, которое умеет dot1q и стоит копейки." на доступ? Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.