Wolfnet Опубликовано 27 февраля, 2008 · Жалоба Всем доброго времени суток! Возникла необходимость перерабатывать существующую сеть, т.к. запущена она довольно сильно. В связи с недостатком опыта решил задать вопрос специалистам)) Сначала описание сети района. Около 300 клиентов, в качестве абонентского свича используются Edge-Core ES3526, либо D-Link 1226G. Центральный свитч - Edge-Core ES4612. Адреса клиентов белые, раздача по DHCP с привязкой по маку. Варианты: 1. Схема типа Vlan на клиента. Если правильно понял, такая схема реализуется с помощью завершения Vlan-ов на центральном свиче микрорайона, с помощью маршрутизации в другой Vlan. Требуется 4 Ip адреса на клиента, то есть при использовании белых IP - разбазаривание жуткое )). Если это так, такая схема не подходит. 2. Схема типа Vlan на дом или группу домов. Та же ситуация, + еще злоумышленнику есть где развернуться ) 3. 1 Vlan на физиков, 1 на юр. лиц, 1 на менеджмент. Привязку физиков делаем прямо на портах свичей с помощью Extended ACL. Вяжем IP - порт. Управление в отдельном вилане, + 1 порт настроенный, чтобы воткнуться ноутом, если что. Виланы доводим непосредственно до центрального свича сети. Включаем Broadcast Control. А теперь вопрос! Решили применять схему номер 3. Правильны ли мои рассуждения по всем трём пунктам? Чем грозит использование схемы номер 3? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 27 февраля, 2008 (изменено) · Жалоба если берёшь EC3526, то обязательно требуй 2ую версию, ценник такой же, а возможности как у 3528(почти :) ) 4612 - тупая молотилка недалеко ушедшая от рефересного броадкомовского дизайна. в 4624(6) уже вкусное метро начинается. так что лучше влан на дом я бы поставил ME3400 гигабитный 12 портовый :) ну или АТ x900 попробовал ;) привязка - свич-порт, никаки маков. DHCP + Opt82 + DHCP Snooping + IP Source Guard(динамический) нету только арп снупинга, но обещают :) один влан на всех - крайне некрасиво, даже если всё управляемое. только адреса белые экономить :) Изменено 27 февраля, 2008 пользователем ingress Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wolfnet Опубликовано 27 февраля, 2008 · Жалоба если берёшь EC3526, то обязательно требуй 2ую версию, ценник такой же, а возможности как у 3528(почти :) ) 4612 - лучше влан на дом + DHCP + Opt82 + DHCP Snooping + IP Source Guard нету только арп снупинга, но обещают :) один влан на всех - крайне некрасиво, даже если всё управляемое. только адреса белые экономить :) Стоят на некоторых домах и 3528.Есть еще проблемка, практически все адреса розданы )) была подсеть/25, щас забита вся. Т.е. применяя такую схему придется у кого то адреса отбирать, выдавать другие, гемморой ) Чем всё же плохо 1 влан на всех? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 27 февраля, 2008 · Жалоба Чем всё же плохо 1 влан на всех? скажу так, отвлекаясь от оборудования и методов защиты, чем меньше сегмент и чем их больше, тем меньше шанс в один прекрасный момент один очень умный/глупый долбоёб положит как можно большее количество машин очередной L2 атакой. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Come Опубликовано 27 февраля, 2008 (изменено) · Жалоба Edge-Core ES3526 - дырявая железка, в ней мульткаст до сих пор не работает, хотя если он нужен и денег нет, то в длинк уже лучше Dlink, там хоть дырки зализали. вообще у еджекоре с софтом все как то не очень пока :( (пока длится года полтора :) ) если хотите дешево, и клиентов мало, возьмите на доступ по свичу хотя бы с 2 vlan на порт (из диапазона 4к), и в центр поставьте нормальную молотилку с QinQ selective (писал уже тут про это, нужен с гигабитами аналог ME3400). Собственно получите и VLAN на пользователя (но с ручной настройкой), и VLAN на юриков еще останется и на менеджмент. А делать 1 Vlan на всех и с ACL- как уже тут писали -это полный писец и ахтунг. Экономия тут может вылится в большие потери. Изменено 27 февраля, 2008 пользователем Come Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 27 февраля, 2008 · Жалоба Edge-Core ES3526 - дырявая железка, в ней мульткаст до сих пор не работает, хотя если нужен он и денег нет, то в длинк дорогавообще у еджекоре с софтом все как то не очень пока :( всмысле не работает :) у меня на стенде всё работает, в том числе с MVR и IGMP Fast Leave. всё корректно обрабатывает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Wolfnet Опубликовано 27 февраля, 2008 · Жалоба скажу так, отвлекаясь от оборудования и методов защиты, чем меньше сегмент и чем их больше, тем меньше шанс в один прекрасный момент один очень умный/глупый долбоёб положит как можно большее количество машин очередной L2 атакой. То есть просто уменьшение размера сегмента. Подумаем... А про терминацию вланов я хоть правильно понял? Т.е. маршрутизировать на 3 уровне? На центральном свиче района? А то теоретическая инфа не помогает, а практической крайне мало... Спасибо заранее. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 27 февраля, 2008 (изменено) · Жалоба кстати можно оставить адреса, только поставить в центр Cisco 4500/6500, у которых есть такая вещь в софте как ip unnumbered on SVIs т.е. до каждого пользователя идёт влан, на сиське в каждом svi прописывается ip unnumbered lo0, включается прокси арп, а на lo0 вешается жирная белая сетка. весь траф будет ходить через центр. Изменено 27 февраля, 2008 пользователем ingress Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Come Опубликовано 27 февраля, 2008 · Жалоба Edge-Core ES3526 - дырявая железка, в ней мульткаст до сих пор не работает, хотя если нужен он и денег нет, то в длинк дорогавообще у еджекоре с софтом все как то не очень пока :( всмысле не работает :) у меня на стенде всё работает, в том числе с MVR и IGMP Fast Leave. всё корректно обрабатывает. волшебный экземпляр или с очередной новой прошивкой? (решающей старые баги и добавляющей новые) суть проблемы - данный свич походу вообще с мультикастом не дружит, и копирует мультикаст не на конкретный порт, а на все куда разрешен мультикаст (посмотрите на них активность). Fast leave не отрабатывает - отрубается 10 секунд по таймауту.С MVR все нормально, но на фоне бесплатной рассылки на порты соседей это не важно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 27 февраля, 2008 (изменено) · Жалоба Edge-Core ES3526 - дырявая железка, в ней мульткаст до сих пор не работает, хотя если нужен он и денег нет, то в длинк дорогавообще у еджекоре с софтом все как то не очень пока :( всмысле не работает :) у меня на стенде всё работает, в том числе с MVR и IGMP Fast Leave. всё корректно обрабатывает. волшебный экземпляр или с очередной новой прошивкой? (решающей старые баги и добавляющей новые) суть проблемы - данный свич походу вообще с мультикастом не дружит, и копирует мультикаст не на конкретный порт, а на все куда разрешен мультикаст (посмотрите на них активность). Fast leave не отрабатывает - отрубается 10 секунд по таймауту.С MVR все нормально, но на фоне бесплатной рассылки на порты соседей это не важно. давайте сравним п***... прошивки :) Agent (master) Unit ID: 1 Loader version: 2.2.1.4 Boot ROM version: 2.3.0.0 Operation code version: 2.3.3.4 и про длинк вспоминать не будем, как они там свои прошивки лизали, и какие там глюки были, и ценник на него не оправдано завышен, потому что вылизали в что то более менее вменяемое :) но про вентиляторы, электролиты и панели до сих пор песни в соседних топиках поют ;) Изменено 27 февраля, 2008 пользователем ingress Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Алексей Андриянов Опубликовано 28 февраля, 2008 (изменено) · Жалоба Чем всё же плохо 1 влан на всех? скажу так, отвлекаясь от оборудования и методов защиты, чем меньше сегмент и чем их больше, тем меньше шанс в один прекрасный момент один очень умный/глупый долбоёб положит как можно большее количество машин очередной L2 атакой. А делать 1 Vlan на всех и с ACL- как уже тут писали -это полный писец и ахтунг. Экономия тут может вылится в большие потери. Можете привести пример такой атаки? Мне что-то в голову не приходит. От подделки IP-адреса в IP и ARP-пакетах защитит ACL, от source-MAC-спуфинга - небольшое максимальное количество MAC на порт, от broadcast/mcast - storm control, от петель - loopback detection и STP. Что еще этот ваш долбоёб на L2 сможет сделать? Изменено 28 февраля, 2008 пользователем Алексей Андриянов Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 28 февраля, 2008 (изменено) · Жалоба Чем всё же плохо 1 влан на всех? скажу так, отвлекаясь от оборудования и методов защиты, чем меньше сегмент и чем их больше, тем меньше шанс в один прекрасный момент один очень умный/глупый долбоёб положит как можно большее количество машин очередной L2 атакой. А делать 1 Vlan на всех и с ACL- как уже тут писали -это полный писец и ахтунг. Экономия тут может вылится в большие потери. Можете привести пример такой атаки? Мне что-то в голову не приходит. От подделки IP-адреса в IP и ARP-пакетах защитит ACL, от source-MAC-спуфинга - небольшое максимальное количество MAC на порт, от broadcast/mcast - storm control, от петель - loopback detection и STP. Что еще этот ваш долбоёб на L2 сможет сделать? я немного не закончил мысль, от броадкаст-мультикаст атак любого уровня у клиента стоит в основном винда, в ней служб всяких тьма тьмущая, всякие SSDP, UPnP, и прочего говна пользовательского типа броадкаст-мультикаст чатов конечно вы можете сказать, да я всё это зарежу на своём любимом длинке но есть 2 варианта: 1.вот теперь представьте - приходит IPv6 (который в висте уже из коробки) и ваши все фичастые ACL которые режут всё это, перестают работать. выкидываете весь доступ и ставите заново(деньги на ветер) 2.всего не упомнишь что там появилось, и всё не закроешь, что нить да проскочет. а ещё хуже, к этому моменту закончатся ресурсы коммутатора. и что делать? смотреть как очередная зараза распостраняется через очередную дыру в оси? так вот, на мой взгляд, предел сегментирования - vlan per user, и позволяет убрать вообще возможность обмена любым броадкаст-мультикастом между пользователем, к тому же при использовании в качестве терминатора BRAS, вырезать остальной трафик как угодно, а на доступе иметь "тупое" "дубовое" оборудование, которое умеет dot1q и стоит копейки. Изменено 28 февраля, 2008 пользователем ingress Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Come Опубликовано 28 февраля, 2008 · Жалоба Чем всё же плохо 1 влан на всех? скажу так, отвлекаясь от оборудования и методов защиты, чем меньше сегмент и чем их больше, тем меньше шанс в один прекрасный момент один очень умный/глупый долбоёб положит как можно большее количество машин очередной L2 атакой. А делать 1 Vlan на всех и с ACL- как уже тут писали -это полный писец и ахтунг. Экономия тут может вылится в большие потери. Можете привести пример такой атаки? Мне что-то в голову не приходит. От подделки IP-адреса в IP и ARP-пакетах защитит ACL, от source-MAC-спуфинга - небольшое максимальное количество MAC на порт, от broadcast/mcast - storm control, от петель - loopback detection и STP. Что еще этот ваш долбоёб на L2 сможет сделать? Мне кажется глупо спорить, если никто не принимает во внимание доводы опонентов :) (в ARP атаке ничего не меняется ни IP ни MAC на порту абонента. Учите матчасть :) а ACL вносят небольшую, но задержу. можно еще раз дать ссылку http://xgu.ru/wiki/ARP-spoofing и в принципе можно и Dlink использовать, только кольца не стройте на нем, а включайте в свич L3. просто строить сети с MAC, IP привязкой ДОРОГО, а так же их ДОРОГО обслуживать и персперктив у них в будующем НЕТ. Про IPV6 - конечно нафиг он не нужен и пугают им уже много лет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Алексей Андриянов Опубликовано 28 февраля, 2008 · Жалоба Ну положим IPv6 - не проблема для тех, кто не собирается его внедрять, а таких - тьма. Чем там будут обмениваться два умника в своем сегменте, прописавшие себе IPv6-адреса - никого в общем не интересует, маршрутизатор их дальше сегмента не выпустит. По пользовательскиму broadcast-софту - это дело вкуса. Многим нравится, когда у них в сетевом окружении видятся компы соседей или в играх автоматически определяются доступные сервера. Если не давать засылать broadcast на большой скорости, то ничего плохого в нем нет. А вот возможность оберегать пользователей от новых зараз, поражающих ОС и резать любой неугодный трафик действительно ценна, как и теоретическая возможность учета локального трафика. Но для этого нужно действительно серьезное оборудование на терминацию туннелей или VLAN, и экономическая целесообразность сомнительна. Но скажу сразу, боевого опыта применения у меня нет, мы только собираемся строить сеть с использованием по одному VLAN где-то на 200 пользователей, с ACL на клиентских портах и разрешенным broadcast. Поэтому и излагаю свои мысли, может, меня тут переубедят :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Алексей Андриянов Опубликовано 28 февраля, 2008 · Жалоба Мне кажется глупо спорить, если никто не принимает во внимание доводы опонентов :) (в ARP атаке ничего не меняется ни IP ни MAC на порту абонента. Учите матчасть :) а ACL вносят небольшую, но задержу. можно еще раз дать ссылку http://xgu.ru/wiki/ARP-spoofing Точно, доводов оппонента не понимают и не принимают. ARP-спуфинг можно исключить с помощью ACL. В теле ARP-пакета прописан IP-адрес, именно его вы и фильтруете так же, как и source IP в IP-пакетах. Именно он и подменяется злоумышленником на IP-адрес другого компьютера. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Come Опубликовано 1 марта, 2008 · Жалоба Мне кажется глупо спорить, если никто не принимает во внимание доводы опонентов :) (в ARP атаке ничего не меняется ни IP ни MAC на порту абонента. Учите матчасть :) а ACL вносят небольшую, но задержу. можно еще раз дать ссылку http://xgu.ru/wiki/ARP-spoofing Точно, доводов оппонента не понимают и не принимают. ARP-спуфинг можно исключить с помощью ACL. В теле ARP-пакета прописан IP-адрес, именно его вы и фильтруете так же, как и source IP в IP-пакетах. Именно он и подменяется злоумышленником на IP-адрес другого компьютера. да почти все верно, только ARP пакет это не IP пакет...проверю на следующей недельке с 3526. но ACL тоже не выход, вы считали сколько их вам на порт нужно создать? для разного трафика, для защиты от небиоса и т.д.? А следить, что бы в 1000 и более свичей это все будет выставленно? :) в общем еще раз повторюсь, дорого делать сеть на одних ACL да и не персперктивно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Алексей Андриянов Опубликовано 3 марта, 2008 · Жалоба да почти все верно, только ARP пакет это не IP пакет...проверю на следующей недельке с 3526. Конечно, этот адрес в ARP-пакете будет расположен с другим смещением, нежели чем в IP-пакете, если вы об этом. но ACL тоже не выход, вы считали сколько их вам на порт нужно создать?Если говорить конкретно об ACL в DES-3526, то считал. У меня получилось 5 "основопологающих" Access-profile : permit ARP, deny ARP, permit IP, deny IP, deny DHCP. Еще есть в запасе 4 access-профиля, на 2 пары permit-deny. В ограничение на правила на порт вообще трудно упереться, там около 200 правил на группу (октет) портов. Вполне хватает, чтобы обезопаситься от злонамеренных действий пользователя. А от непреднамеренных действий пользователя (вирусов и т.п.) вы и с BRAS не очень-то убережетесь - все равно будет пролезать там, где есть локалка. Пользователям проще растолковать про firewall, чем все новые заразы отслеживать и в центре зарубать. Насчет дешевизны схемы VLAN-per-client и т.п. - предложите решение дешевле для моих объемов (40 домовых коммутаторов, маленький район) - 40 * DES-3526 + 2 * DGS-3627G + 80 * SFP = 550 000 руб (это грубо так). Только железо, понятно, должно быть новое. И чтобы не загиналось на 1000 SVI со всеми вашими ACL в центре. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Come Опубликовано 4 марта, 2008 · Жалоба да почти все верно, только ARP пакет это не IP пакет...проверю на следующей недельке с 3526. Конечно, этот адрес в ARP-пакете будет расположен с другим смещением, нежели чем в IP-пакете, если вы об этом. но ACL тоже не выход, вы считали сколько их вам на порт нужно создать?Если говорить конкретно об ACL в DES-3526, то считал. У меня получилось 5 "основопологающих" Access-profile : permit ARP, deny ARP, permit IP, deny IP, deny DHCP. Еще есть в запасе 4 access-профиля, на 2 пары permit-deny. В ограничение на правила на порт вообще трудно упереться, там около 200 правил на группу (октет) портов. Вполне хватает, чтобы обезопаситься от злонамеренных действий пользователя. А от непреднамеренных действий пользователя (вирусов и т.п.) вы и с BRAS не очень-то убережетесь - все равно будет пролезать там, где есть локалка. Пользователям проще растолковать про firewall, чем все новые заразы отслеживать и в центре зарубать. Насчет дешевизны схемы VLAN-per-client и т.п. - предложите решение дешевле для моих объемов (40 домовых коммутаторов, маленький район) - 40 * DES-3526 + 2 * DGS-3627G + 80 * SFP = 550 000 руб (это грубо так). Только железо, понятно, должно быть новое. И чтобы не загиналось на 1000 SVI со всеми вашими ACL в центре. А сколько всего ACL вам будет нужно, что бы:1) закрыть все дырки и защитится от атак. 2) выставить приоритеты на трафик VoIP, на Интернет, на IP TV .. Не знаю как Вы считали, у меня есть цены GPL от кьютека (уже давал раньше ссылки), так подобное решение стоит 603 000 рублей. Это так не грубо, а по рознице... Может я чего не понимаю, но ведь тестили, работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sbca Опубликовано 4 марта, 2008 · Жалоба Если говорить конкретно об ACL в DES-3526, то считал. У меня получилось 5 "основопологающих" Access-profile : permit ARP, deny ARP, permit IP, deny IP, deny DHCP. Еще есть в запасе 4 access-профиля, на 2 пары permit-deny. Еще бы неплохо запретить протоколы отличные от ARP, IP Если у Вас используется PPPoE, то разрешить его и придумать как защищаться от лже PPPoE аксес-концентраторов. Если планируется IPTV, то ещё ограничить испускаемый клиентом мультикаст трафик, дабы как минимум не дать возможность вещать на адресах, которые у Вас зяняты под IPTV. А так же было бы неплохо иметь возможность ограничивать доступ к сети неплательщиков не просто опусканием порта, а ограничением доступных им ресурсов (например, разрешив доступ только к личному кабинету, чтобы клиент мог знать свою задолженноость и имел возможность пополнить счет картой экспресс-оплаты) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 4 марта, 2008 · Жалоба Edge-Core ES3526 - дырявая железка, в ней мульткаст до сих пор не работает, хотя если он нужен и денег нет, то в длинк уже лучше Dlink, там хоть дырки зализали. Что именно "не работает"? Там-то как-раз полноценный MVR, причём вылизаный. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Алексей Андриянов Опубликовано 4 марта, 2008 · Жалоба sbca, спасибо за советы. Но PPPoE не используем, для ограничение на испускаемый multicast в 3526 есть отдельная функция, никак не связанная с access-profile, а выключать доступ планируем переводом в другой VLAN, где http-запросы будут заворачиваться в личный кабинет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Come Опубликовано 4 марта, 2008 · Жалоба Алексей, так все таки сколько ACL нужно для безопасной жизни абонента в одном в одном VLAN? где не только интернет нужен? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sbca Опубликовано 5 марта, 2008 · Жалоба для ограничение на испускаемый multicast в 3526 есть отдельная функция. что-то не нашёл такой. там есть возможность ограничить подписку на определенные группы, есть возможность установить ограничение по скорости для испускаемого мультикаст и широковещательного трафика. но как запретить отправку мультикаст отличного от IGMP - я не нашёл. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Come Опубликовано 7 марта, 2008 · Жалоба Видимо ее и нет, удивляюсь как люди мучаются, изобретают велосипед (хотя это интересно), но пытаются всех засунуть в один VLAN :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
X-RaY™ Опубликовано 7 апреля, 2008 · Жалоба Кто что порекомендовать может из варианта "так вот, на мой взгляд, предел сегментирования - vlan per user, и позволяет убрать вообще возможность обмена любым броадкаст-мультикастом между пользователем, к тому же при использовании в качестве терминатора BRAS, вырезать остальной трафик как угодно, а на доступе иметь "тупое" "дубовое" оборудование, которое умеет dot1q и стоит копейки." на доступ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...