[Cramac]

Всем привет. Подскажите, есть два влана 1 - стандартный в нем все абоненты, и 10 в нем серверное оборудование.

в 1 влане, адреса типо 10.10.х.х

в 10 - 10.10.10.х

есть edge-core es4612

с конфигом (в конце)

 

Так вот как абонент может забив себе адрес 10.10.10.1 в 1 влане, навести смуту в сети ? т.е. перестает отвечать сервер с таким адресом из 10 влана)

По динамической таблице со свитча, видно что данный мак (что пробует забрать себе этот адрес) пришел с 1 порта с 1 влана, а сервер в 12 порту в 10 влане.

Что у меня не так?

 

sh running-config

building running-config, please wait.....

!

hostname "center"

SNTP server 10.10.10.1 0.0.0.0 0.0.0.0

SNMP-server location "9-b,107"

!

!

snmp-server community public ro

!

!

username "admin" access-level 15

username "admin" password 7 ""

enable password level 15 7 ""

!

!

logging history flash 7

!

!

!

!

!

VLAN database

VLAN 1 name "DefaultVlan" media ethernet state active

VLAN 10 name "server" media ethernet state active

VLAN 101 name "segment_1" media ethernet state active

VLAN 103 name "segment_3" media ethernet state active

VLAN 104 name "segment_4" media ethernet state active

VLAN 111 name "GKO" media ethernet state active

!

!

!

!

!

no spanning-tree

!

spanning-tree MST-configuration

!

!

!

!

!

!

!

!

!

interface ethernet 1/1

switchport allowed VLAN add 1 untagged

switchport native VLAN 1

switchport allowed VLAN add 10 tagged

!

interface ethernet 1/2

switchport allowed VLAN add 1 untagged

switchport native VLAN 1

switchport allowed VLAN add 10 tagged

!

interface ethernet 1/3

switchport allowed VLAN add 1 untagged

switchport native VLAN 1

switchport allowed VLAN add 10 tagged

!

interface ethernet 1/4

switchport allowed VLAN add 1 untagged

switchport native VLAN 1

switchport allowed VLAN add 10 tagged

!

interface ethernet 1/5

switchport allowed VLAN add 1 untagged

switchport native VLAN 1

!

interface ethernet 1/6

switchport allowed VLAN add 1 untagged

switchport native VLAN 1

switchport allowed VLAN add 10,104 tagged

!

interface ethernet 1/7

switchport allowed VLAN add 1 untagged

switchport native VLAN 1

switchport allowed VLAN add 10,101 tagged

!

interface ethernet 1/8

switchport allowed VLAN add 1 untagged

switchport native VLAN 1

switchport allowed VLAN add 10 tagged

!

interface ethernet 1/9

switchport allowed VLAN add 10 untagged

switchport native VLAN 10

switchport allowed VLAN remove 1

!

interface ethernet 1/10

switchport allowed VLAN add 1 untagged

switchport native VLAN 1

switchport mode trunk

switchport allowed VLAN add 1,10,101,111 tagged

!

interface ethernet 1/11

switchport allowed VLAN add 10 untagged

switchport native VLAN 10

switchport allowed VLAN remove 1

!

interface ethernet 1/12

switchport allowed VLAN add 10 untagged

switchport native VLAN 10

switchport allowed VLAN remove 1

!

!

!

interface VLAN 1

IP address 10.10.2.254 255.255.255.0

IP address 10.10.3.254 255.255.255.0 secondary

IP address 10.10.5.254 255.255.255.0 secondary

IP address 10.10.6.254 255.255.255.0 secondary

IP address 10.10.7.254 255.255.255.0 secondary

IP address 10.10.8.254 255.255.255.0 secondary

IP address 10.10.0.254 255.255.255.0 secondary

IP address 10.10.111.254 255.255.255.0 secondary

IP DHCP relay server 10.10.10.2

!

interface VLAN 10

IP address 10.10.10.254 255.255.255.0

!

interface VLAN 101

IP address 10.10.1.254 255.255.255.0

IP DHCP relay server 10.10.10.2

!

interface VLAN 103

!

interface VLAN 104

IP address 10.10.4.254 255.255.255.0

IP DHCP relay server 10.10.10.2

!

interface VLAN 111

IP address 10.10.101.254 255.255.255.0

IP DHCP relay server 10.10.10.2

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

no map IP precedence

no map IP DSCP

!

!

!

!

!

!

!

!

!

!

line console

speed auto

!

!

line VTY

!

!

!

end

!

Изменено 7 июня, 2011 пользователем Cramac

[passer]

Решением может быть использование ip source-guard binding или статические записи arp. Все зависит от порядка обработки пакетов в коммутаторе (а с Edge Core я не работал по сути).

Изменено 8 июня, 2011 пользователем passer

[Cramac]

статик арп не работает на es4612

а разделение на вланы не должно от таких вещей обезопасить?

Изменено 8 июня, 2011 пользователем Cramac

[ilia_2s]

нет, Есть даже такая атака, когда таблицы коммутатора переполняются и злоумышленник получает доступ ко всему трафику сети.

 

http://nag.ru/articles/reviews/15475/ataka-na-kommutator.html

[Cramac]

да, грезы по беззаботной жизни рушатся :)

Как можно защититься от такой ситуации?

[ilia_2s]

лочить флудящие порты, конкретно по настройкам железок - к гуру.

[Cramac]

понятно, щас ограничиваемся отключением абонента, но все же время уходит...пока найдешь и отключишь.

[OlegStr]

Я бы не использовал Native VLAN 1 для пользователей и удалил этот VLAN 1 на портах в VLAN 10 http://forum.nag.ru/forum/index.php?showtopic=66172&hl=vlan hopping&st=0

[Sp!ZER]

нет, Есть даже такая атака, когда таблицы коммутатора переполняются и злоумышленник получает доступ ко всему трафику сети.

 

http://nag.ru/articles/reviews/15475/ataka-na-kommutator.html

Простите меня глупого... Но каким образом переполнение таблицы коммутации может заставить трафик из одного вилана перетечь в другой? В рамках одного вилана тип M-in-M понятен, но между разными виланами как? Наверное вы согласитесь со мной что, если прилетит пакетик в коммутатор на dst-mac, который еще был не изучен коммутатором, то коммутатор его отправит на все порты в рамках одного вилана, именно того из которого он прилетел? Про вилан согласны? А теперь предлагаю рассмотреть частный случай, когда коммутатор не в состоянии изучить мак (например переполнена таблица fdb), то каждый пакет на dst-mac которого нет в fdb таблице так же будет отправлен на все порты, того вилана из которого он пришел. согласны?

[ilia_2s]

Маршрутизация осуществляется с использованием пары MAC+VLAN. Есть коммутаторы, которые позволяют пересылать трафик, при переполнении таблицы, в конкретный VLAN, а возможно уже появились и такие, которые могут делать так как вы описали, все зависит от чипа и мозга производителя.

[Sp!ZER]

Маршрутизация осуществляется с использованием пары MAC+VLAN.

Маршрутизация? Маршрутизация - вроде как сетевой уровень, и причем тут канальный. Может быть имеется ввиду коммутация?

 

Есть коммутаторы, которые позволяют пересылать трафик, при переполнении таблицы, в конкретный VLAN,

Ну Ваши слоава как раз подтверждают мои, что при переполнение fdb, Man-in-the-Middle будет существовать ТОЛЬКО в том вилане в котором находится аттакующий, но ни как ни в соседенем вилане.

 

а возможно уже появились и такие, которые могут делать так как вы описали, все зависит от чипа и мозга производителя.

Я описал как раз то, что описал, и ничего более. Про существование управляемых (именно управляемых, а не мыльниц) коммутаторов, которые при переполнении таблицы начинают слать трафик во все виланы я ничего не знаю. Соответсвенно у тописк стара проблемы с перетечками трафика из одного вилана в другой при описанной схеме сети быть не может. Соотсветсвенно разделение на виланы должно спасти. Надо исследовать схему на наличие неуправляемых коммутаторов в сети из управляемых.

[ilia_2s]

Маршрутизация? Маршрутизация - вроде как сетевой уровень, и причем тут канальный. Может быть имеется ввиду коммутация?

 

Имелась ввиду таблица мак-адресов.

 

Про существование управляемых (именно управляемых, а не мыльниц) коммутаторов, которые при переполнении таблицы начинают слать трафик во все виланы я ничего не знаю.

 

 

http://www.cisco.com/en/US/products/hw/switches/ps708/products_white_paper09186a008013159f.shtml#wp39061

 

 

Соответсвенно у тописк стара проблемы с перетечками трафика из одного вилана в другой при описанной схеме сети быть не может.

 

 

У ТС, скорее всего, проблема в том что пакеты, которые неизвестно как коммутировать, валятся в native VLAN (1), в котором у него оборудование.

[Sp!ZER]

2ilia_2s

Спасибо за ссылочку. Хотя это для кошки а не для эджа. Однако от vlan leaking есть другое средство - VLAN Forbidden.

[Cramac]

и все же, как поступить? :)

[hRUst]

Пробуйте убрать native vlan

[Cramac]

и все же, как в больших сетях решается проблема конфликтов ип адресов?

Максимум что сейчас получается делать, это мониторить арп логи, и блокировать маки таких клиентов на свитче.

 

П.С. натив влан пока не можем убрать.

Изменено 22 июня, 2011 пользователем Cramac

[Lynx10]

и все же, как в больших сетях решается проблема конфликтов ип адресов?

например http://xgu.ru/wiki/IP_Source_Guard

у других нецисковских - есть аналогичный функционал

Изменено 23 июня, 2011 пользователем Lynx10

[Cramac]

эту фишку мы уже тестируем на динамической раздаче, а со статической?

[Lynx10]

эту фишку мы уже тестируем на динамической раздаче, а со статической?

например

"Привязка IP-MAC-порт (IP-MAC-Port Binding)

Эта функция специально разработана для управления

сетями ETTH/ ETTB и офисными сетями

 

Функция IP-MAC-Port Binding в коммутаторах D-Link позволяет контролировать

доступ компьютеров в сеть на основе их IP и MAC-адресов, а также порта

подключения. Если какая-нибудь составляющая в этой записи меняется, то

коммутатор блокирует данный MAC-адрес с занесением его в блок-лист."

 

http://www.dlink.ru/up/uploads_media/FAQ_IP_MAC_Port_Binding.pdf

Изменено 24 июня, 2011 пользователем Lynx10