[DyadyaGenya]

 

IP-MAC это связка L3-L2 адресов, где IP это всего лишь один из многих типов данных в L2 (эзернет) пакете. Будучи в вашей сети в одном л2 сегменте я могу с обоих сторон менять тип эзернет кадра на произвольный и он будет долетать до другого моего роутера в обход всех фильтров с привязкой к IP.

 

Иными словами, в pppoe, arp и сотнях других протоколов L3 - IP нет (те он там может быть в инкапсулированном виде) и они не отфильтруются "ip-mac-binding".

 

проверил ещё раз, действительно пропускает пакеты, соединение создается, но по именам зайти на сайты не может, проходит только пинг на сайт по цифровому значению. и даже в сети продолжает пинговать сетевые хосты

жаль не могу щас проверить тоже самое на НР

 

но почему ж тогда запрещенные маки в арп таблицах не светятся?

 

и если можно, то плз ссылку где почитать про L3 протоколы, так сказать весь список

Изменено 10 июля, 2011 пользователем DyadyaGenya

[s.lobanov]

Судя по документации http://www.dlink.ru/up/uploads_media/FAQ_IP_MAC_Port_Binding.pdf вы просто защищаетесь от поддельного arp-трафика (arp_mode), при этом(как я понимаю) на ppp-трафик эта штука не действует. Соберите на тестовый стенд и проверьте, делов-то.

 

В качестве старта возьмите вот это http://en.wikipedia.org/wiki/List_of_network_protocols . Но нужно понимать, что современные коммутаторы называются L2+, а вот насколько они плюс при самом свитчинге это уже зависит от навороченности чипа.

[DyadyaGenya]

Судя по документации http://www.dlink.ru/up/uploads_media/FAQ_IP_MAC_Port_Binding.pdf вы просто защищаетесь от поддельного arp-трафика (arp_mode), при этом(как я понимаю) на ppp-трафик эта штука не действует. Соберите на тестовый стенд и проверьте, делов-то.

так я ж написал только что, что на пппое не действует, вернее действует специфически, соединение создается, в инет пинг идет по цифровым значением, имена не проходят

осталось только проверить как работает на НР

 

и кстати, если это так, то получается кто то специально или случайно стал раздавать в сеть пппое трафик скажем с роутера, потому и мака в базе нет, и кольца тогда получается нету

Изменено 10 июля, 2011 пользователем DyadyaGenya

[DyadyaGenya]

В качестве старта возьмите вот это http://en.wikipedia.org/wiki/List_of_network_protocols . Но нужно понимать, что современные коммутаторы называются L2+, а вот насколько они плюс при самом свитчинге это уже зависит от навороченности чипа.

на вскидку не подскажите какие из л3 могут быть использованы в зловредных целях? пппое я уже понял, можно и раздачу устроить с использованием вашей сети и флуд устроить

[Ivan_83]

вы такое пробовали? или это теория?

 

Для меня теория: дома железок управляемых пока нет, а на работе не до сборок лабы для "поигратся". Однако в документации на фряху, в разделе фильтрующих бриджей прямо сказано: фильтруется только IP, остальное пролетает как есть, и это логично вытекает из названия ipfw.

 

Вам не нужны все L3 знать, достаточно arp, ipv4, ipv6, pppoe. Разрешить из этого списка то что нужно, всё остальное зафильтровать.

 

Пинг по имени у вас не работе скорее всего потому что днс идёт не через пппое туннель, пропишите себе 8.8.8.8 в кач днс и посмотрите что случится.

 

Любые доступные L3 могут быть использованы для чего угодно в умеющих руках с инструментами. Я уже писал - можно банально замутить свою локалку через вашу сеть (типа L2vpn), просто меняя ethe_type на входе/выходе, это легко делается нетграфом типа ng_patch или своя нода пишется за 5 минут. Вся прелесть в том, что даже мту уменьшать не потребуется ибо инкапсуляция не нужна. И даже больше, когда вы всё лишнее зафильтруете, можно будет этим заниматся, достаточно выставлять ethe_type как пппое, потому как у вас коммутаторы пропускают эти пакеты не смотря на адрес назначения, который в суровых условиях должен быть маком вашего пппое сервера.

 

 

 

 

 

[DyadyaGenya]

И даже больше, когда вы всё лишнее зафильтруете, можно будет этим заниматся, достаточно выставлять ethe_type как пппое, потому как у вас коммутаторы пропускают эти пакеты не смотря на адрес назначения, который в суровых условиях должен быть маком вашего пппое сервера.

ну а если я ацл написал чтоб все левые пппое пакеты рубило и пропускало только с маком моего сервера? неужели и тогда будет пропускать? я кстати так и сделал, после чего флуд прекращается, хотя может опять же не правильно проверял. Правда есть ещё один способ как этот конкретный флуд запретить, это запрет вссех левых дшсп пакетов даже на аплинках. я пробовал и тот и тот способ работают по отдельности друг от друга

[wtyd]

broadcast storm control включать не пробовали ? Попробуйте включить на абонентских потах в минимально возможное значение. Ещё можно попробовать рисовать графики с портов в т.ч. графики броадкастовых pps. Если это возможно, то по графикам найдёте источник :-).

[GFORGX]

После прочтения топика по диагонали возникло ощущение, что ТС не хватает L3 в сети.

[DyadyaGenya]

broadcast storm control включать не пробовали ? Попробуйте включить на абонентских потах в минимально возможное значение. Ещё можно попробовать рисовать графики с портов в т.ч. графики броадкастовых pps. Если это возможно, то по графикам найдёте источник :-).

это наверно первое что я научился делать на управляемых свичах :-) конечно включент на миним размер, ничего страшного не показывает. График не думал рисовать, но возможно попробую. Правда для этого опять придеться отключать защиту от левых пппое серваков, а это опять приведет к проблемам, и не факт что рисуя графики что то найду

 

После прочтения топика по диагонали возникло ощущение, что ТС не хватает L3 в сети.

а чем он поможет?

[s.lobanov]

Запишитесь на курсы CCNA, там подобные вещи разжёвывают. Если в двух словах, то кол-ва мусора растёт нелинейно от кол-во узлов в одном широковещательном домене.

[DyadyaGenya]

Запишитесь на курсы CCNA, там подобные вещи разжёвывают. Если в двух словах, то кол-ва мусора растёт нелинейно от кол-во узлов в одном широковещательном домене.

про рост мусора я как бы знаю, но не вижу видимых причин как это может в конкретной ситуации помочь вычислить откуда береться флуд пппое пакетов? предположим я его поставлю на агрегацию вместо НР и там так же будет бегать по портам флудящий мак. я уже говорил что бороться можно запретив все чужие пппле пакеты или чужие дхцп, а вот как источник выявить?

[Ilya Evseev]

а вот как источник выявить?

Поочерёдно зеркалировать порты на компьютер со сниффером.

Если зеркалирование не поддерживается - подключать этот компьютер мостом в стыки.

[Mallorn]

Похоже на кольцо или подвисшие "флудящие" мыльницы на абонентских линиях.

Как вариант - кто поднимает свой PPPoE c мак-адресом и именем службы как в вашей сети. Т.е. пытается отловить абонентские логины\пароли.

 

Видел подобную ситуацию на своей сети, только без обвала PPPoE. В принципе loopdetect на свитчах доступа (des-3526, des-3028) помогает выявить проблемный линк. Найти с какого абонента\подъезда\порта сыпется гадость становится намного проще. Ну а дальше дело монтажников-ремонтников выяснить, кто или что конкретно дает такой мусор.

[DyadyaGenya]

а вот как источник выявить?

Поочерёдно зеркалировать порты на компьютер со сниффером.

Если зеркалирование не поддерживается - подключать этот компьютер мостом в стыки.

если я правильно понимаю то зеркалировать можно и л2

 

Похоже на кольцо или подвисшие "флудящие" мыльницы на абонентских линиях.

Как вариант - кто поднимает свой PPPoE c мак-адресом и именем службы как в вашей сети. Т.е. пытается отловить абонентские логины\пароли.

 

Видел подобную ситуацию на своей сети, только без обвала PPPoE. В принципе loopdetect на свитчах доступа (des-3526, des-3028) помогает выявить проблемный линк. Найти с какого абонента\подъезда\порта сыпется гадость становится намного проще. Ну а дальше дело монтажников-ремонтников выяснить, кто или что конкретно дает такой мусор.

тоже грешу на мыльницы, тем более что на той ветке откуда по идее идет флуд полно таких мыльниц у абонентов, и абоненты там очень "продвинутые" уже много от них намучался (ловил не единожды на раздаче своего же инета через свою сеть, но последний раз защитился биндингом и после того вроде перестали), ну а отловить можно было бы если логирование на свичах шло нормально, а так 1210-28 слбанько логи пишет, а так лупдетект конечно включен

Изменено 20 июля, 2011 пользователем DyadyaGenya

[GFORGX]

Ну а дальше дело монтажников-ремонтников выяснить, кто или что конкретно дает такой мусор.

Прикольно.

[Negator]

За это время можно было 1 человеку с ноутом обойти всю сеть отключая проблемные участки.

Умные свичи конечно хорошо, но теорию никто не отменял

[Mallorn]

Ну а дальше дело монтажников-ремонтников выяснить, кто или что конкретно дает такой мусор.

Прикольно.

Не понял сатиры.

После выяснения точного источника флуда (дом № хх, подъезд y, этаж Z) вы лично отправляетесь туда?

[s.lobanov]

Остаётся лишь вопрос что дороже - квалифицированные монтёры или управляемое оборудование.

[GFORGX]

Ну а дальше дело монтажников-ремонтников выяснить, кто или что конкретно дает такой мусор.

Прикольно.

Не понял сатиры.

После выяснения точного источника флуда (дом № хх, подъезд y, этаж Z) вы лично отправляетесь туда?

А я просто не выясняю источники флуда, ибо мне это незачем :) См. пост s.lobanov выше.

[Mallorn]

Остаётся лишь вопрос что дороже - квалифицированные монтёры или управляемое оборудование.

Понятно, что можно выключить порт \ vlan на порту. Но:

1. лучше источник выяснить на месте

2. если это абонент - отключить его насовсем. Физически. Ибо подобных деятелей мало, и лучше 1-2 выключить, чем из-за будут терпеть неудобства десятки людей, например. Юридически на уровне договора это вполне можно и нужно закрепить.

Все это личное имхо, конечно.

Изменено 21 июля, 2011 пользователем Mallorn

[GFORGX]

Остаётся лишь вопрос что дороже - квалифицированные монтёры или управляемое оборудование.

Понятно, что можно выключить порт \ vlan на порту. Но:

1. лучше источник выяснить на месте

2. если это абонент - отключить его насовсем. Физически. Ибо подобных деятелей мало, и лучше 1-2 выключить, чем из-за будут терпеть неудобства десятки людей, например. Юридически на уровне договора это вполне можно и нужно закрепить.

Все это личное имхо, конечно.

Давайте, для начала обозначим, какие "деяния" Вы имеете ввиду, и почему от этих деяний терпят неудобства десятки людей?

[NiTr0]

какие "деяния" Вы имеете ввиду

ARP spoofing, подмена ИП/маков, поднятие в сети DHCP/PPPoE серверов и т.п.

[GFORGX]

какие "деяния" Вы имеете ввиду

ARP spoofing, подмена ИП/маков, поднятие в сети DHCP/PPPoE серверов и т.п.

DHCP Snooping, IP Source Guard/IMB, ACL-и, L2-домены не более одного дома. Нет?

Изменено 21 июля, 2011 пользователем GFORGX

[loginblin]

Столкнулись с очень похожей проблемой и тоже на dlink. Вам не удалось найти ее корни?

[f-coder]

Столкнулись с очень похожей проблемой и тоже на dlink. Вам не удалось найти ее корни?

 

Прошивка 5.20.011 виновата! Прошил все свичи на 2.01.002 уже больше пол года ни каких проблем.