DyadyaGenya Опубликовано 10 июля, 2011 (изменено) · Жалоба IP-MAC это связка L3-L2 адресов, где IP это всего лишь один из многих типов данных в L2 (эзернет) пакете. Будучи в вашей сети в одном л2 сегменте я могу с обоих сторон менять тип эзернет кадра на произвольный и он будет долетать до другого моего роутера в обход всех фильтров с привязкой к IP. Иными словами, в pppoe, arp и сотнях других протоколов L3 - IP нет (те он там может быть в инкапсулированном виде) и они не отфильтруются "ip-mac-binding". проверил ещё раз, действительно пропускает пакеты, соединение создается, но по именам зайти на сайты не может, проходит только пинг на сайт по цифровому значению. и даже в сети продолжает пинговать сетевые хосты жаль не могу щас проверить тоже самое на НР но почему ж тогда запрещенные маки в арп таблицах не светятся? и если можно, то плз ссылку где почитать про L3 протоколы, так сказать весь список Изменено 10 июля, 2011 пользователем DyadyaGenya Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 10 июля, 2011 · Жалоба Судя по документации http://www.dlink.ru/up/uploads_media/FAQ_IP_MAC_Port_Binding.pdf вы просто защищаетесь от поддельного arp-трафика (arp_mode), при этом(как я понимаю) на ppp-трафик эта штука не действует. Соберите на тестовый стенд и проверьте, делов-то. В качестве старта возьмите вот это http://en.wikipedia.org/wiki/List_of_network_protocols . Но нужно понимать, что современные коммутаторы называются L2+, а вот насколько они плюс при самом свитчинге это уже зависит от навороченности чипа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DyadyaGenya Опубликовано 10 июля, 2011 (изменено) · Жалоба Судя по документации http://www.dlink.ru/up/uploads_media/FAQ_IP_MAC_Port_Binding.pdf вы просто защищаетесь от поддельного arp-трафика (arp_mode), при этом(как я понимаю) на ppp-трафик эта штука не действует. Соберите на тестовый стенд и проверьте, делов-то. так я ж написал только что, что на пппое не действует, вернее действует специфически, соединение создается, в инет пинг идет по цифровым значением, имена не проходят осталось только проверить как работает на НР и кстати, если это так, то получается кто то специально или случайно стал раздавать в сеть пппое трафик скажем с роутера, потому и мака в базе нет, и кольца тогда получается нету Изменено 10 июля, 2011 пользователем DyadyaGenya Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DyadyaGenya Опубликовано 10 июля, 2011 · Жалоба В качестве старта возьмите вот это http://en.wikipedia.org/wiki/List_of_network_protocols . Но нужно понимать, что современные коммутаторы называются L2+, а вот насколько они плюс при самом свитчинге это уже зависит от навороченности чипа. на вскидку не подскажите какие из л3 могут быть использованы в зловредных целях? пппое я уже понял, можно и раздачу устроить с использованием вашей сети и флуд устроить Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 11 июля, 2011 · Жалоба вы такое пробовали? или это теория? Для меня теория: дома железок управляемых пока нет, а на работе не до сборок лабы для "поигратся". Однако в документации на фряху, в разделе фильтрующих бриджей прямо сказано: фильтруется только IP, остальное пролетает как есть, и это логично вытекает из названия ipfw. Вам не нужны все L3 знать, достаточно arp, ipv4, ipv6, pppoe. Разрешить из этого списка то что нужно, всё остальное зафильтровать. Пинг по имени у вас не работе скорее всего потому что днс идёт не через пппое туннель, пропишите себе 8.8.8.8 в кач днс и посмотрите что случится. Любые доступные L3 могут быть использованы для чего угодно в умеющих руках с инструментами. Я уже писал - можно банально замутить свою локалку через вашу сеть (типа L2vpn), просто меняя ethe_type на входе/выходе, это легко делается нетграфом типа ng_patch или своя нода пишется за 5 минут. Вся прелесть в том, что даже мту уменьшать не потребуется ибо инкапсуляция не нужна. И даже больше, когда вы всё лишнее зафильтруете, можно будет этим заниматся, достаточно выставлять ethe_type как пппое, потому как у вас коммутаторы пропускают эти пакеты не смотря на адрес назначения, который в суровых условиях должен быть маком вашего пппое сервера. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DyadyaGenya Опубликовано 11 июля, 2011 · Жалоба И даже больше, когда вы всё лишнее зафильтруете, можно будет этим заниматся, достаточно выставлять ethe_type как пппое, потому как у вас коммутаторы пропускают эти пакеты не смотря на адрес назначения, который в суровых условиях должен быть маком вашего пппое сервера. ну а если я ацл написал чтоб все левые пппое пакеты рубило и пропускало только с маком моего сервера? неужели и тогда будет пропускать? я кстати так и сделал, после чего флуд прекращается, хотя может опять же не правильно проверял. Правда есть ещё один способ как этот конкретный флуд запретить, это запрет вссех левых дшсп пакетов даже на аплинках. я пробовал и тот и тот способ работают по отдельности друг от друга Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wtyd Опубликовано 12 июля, 2011 · Жалоба broadcast storm control включать не пробовали ? Попробуйте включить на абонентских потах в минимально возможное значение. Ещё можно попробовать рисовать графики с портов в т.ч. графики броадкастовых pps. Если это возможно, то по графикам найдёте источник :-). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GFORGX Опубликовано 12 июля, 2011 · Жалоба После прочтения топика по диагонали возникло ощущение, что ТС не хватает L3 в сети. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DyadyaGenya Опубликовано 12 июля, 2011 · Жалоба broadcast storm control включать не пробовали ? Попробуйте включить на абонентских потах в минимально возможное значение. Ещё можно попробовать рисовать графики с портов в т.ч. графики броадкастовых pps. Если это возможно, то по графикам найдёте источник :-). это наверно первое что я научился делать на управляемых свичах :-) конечно включент на миним размер, ничего страшного не показывает. График не думал рисовать, но возможно попробую. Правда для этого опять придеться отключать защиту от левых пппое серваков, а это опять приведет к проблемам, и не факт что рисуя графики что то найду После прочтения топика по диагонали возникло ощущение, что ТС не хватает L3 в сети. а чем он поможет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 12 июля, 2011 · Жалоба Запишитесь на курсы CCNA, там подобные вещи разжёвывают. Если в двух словах, то кол-ва мусора растёт нелинейно от кол-во узлов в одном широковещательном домене. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DyadyaGenya Опубликовано 12 июля, 2011 · Жалоба Запишитесь на курсы CCNA, там подобные вещи разжёвывают. Если в двух словах, то кол-ва мусора растёт нелинейно от кол-во узлов в одном широковещательном домене. про рост мусора я как бы знаю, но не вижу видимых причин как это может в конкретной ситуации помочь вычислить откуда береться флуд пппое пакетов? предположим я его поставлю на агрегацию вместо НР и там так же будет бегать по портам флудящий мак. я уже говорил что бороться можно запретив все чужие пппле пакеты или чужие дхцп, а вот как источник выявить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 15 июля, 2011 · Жалоба а вот как источник выявить? Поочерёдно зеркалировать порты на компьютер со сниффером. Если зеркалирование не поддерживается - подключать этот компьютер мостом в стыки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mallorn Опубликовано 20 июля, 2011 · Жалоба Похоже на кольцо или подвисшие "флудящие" мыльницы на абонентских линиях. Как вариант - кто поднимает свой PPPoE c мак-адресом и именем службы как в вашей сети. Т.е. пытается отловить абонентские логины\пароли. Видел подобную ситуацию на своей сети, только без обвала PPPoE. В принципе loopdetect на свитчах доступа (des-3526, des-3028) помогает выявить проблемный линк. Найти с какого абонента\подъезда\порта сыпется гадость становится намного проще. Ну а дальше дело монтажников-ремонтников выяснить, кто или что конкретно дает такой мусор. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DyadyaGenya Опубликовано 20 июля, 2011 (изменено) · Жалоба а вот как источник выявить? Поочерёдно зеркалировать порты на компьютер со сниффером. Если зеркалирование не поддерживается - подключать этот компьютер мостом в стыки. если я правильно понимаю то зеркалировать можно и л2 Похоже на кольцо или подвисшие "флудящие" мыльницы на абонентских линиях. Как вариант - кто поднимает свой PPPoE c мак-адресом и именем службы как в вашей сети. Т.е. пытается отловить абонентские логины\пароли. Видел подобную ситуацию на своей сети, только без обвала PPPoE. В принципе loopdetect на свитчах доступа (des-3526, des-3028) помогает выявить проблемный линк. Найти с какого абонента\подъезда\порта сыпется гадость становится намного проще. Ну а дальше дело монтажников-ремонтников выяснить, кто или что конкретно дает такой мусор. тоже грешу на мыльницы, тем более что на той ветке откуда по идее идет флуд полно таких мыльниц у абонентов, и абоненты там очень "продвинутые" уже много от них намучался (ловил не единожды на раздаче своего же инета через свою сеть, но последний раз защитился биндингом и после того вроде перестали), ну а отловить можно было бы если логирование на свичах шло нормально, а так 1210-28 слбанько логи пишет, а так лупдетект конечно включен Изменено 20 июля, 2011 пользователем DyadyaGenya Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GFORGX Опубликовано 20 июля, 2011 · Жалоба Ну а дальше дело монтажников-ремонтников выяснить, кто или что конкретно дает такой мусор. Прикольно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 20 июля, 2011 · Жалоба За это время можно было 1 человеку с ноутом обойти всю сеть отключая проблемные участки. Умные свичи конечно хорошо, но теорию никто не отменял Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mallorn Опубликовано 21 июля, 2011 · Жалоба Ну а дальше дело монтажников-ремонтников выяснить, кто или что конкретно дает такой мусор. Прикольно. Не понял сатиры. После выяснения точного источника флуда (дом № хх, подъезд y, этаж Z) вы лично отправляетесь туда? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 21 июля, 2011 · Жалоба Остаётся лишь вопрос что дороже - квалифицированные монтёры или управляемое оборудование. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GFORGX Опубликовано 21 июля, 2011 · Жалоба Ну а дальше дело монтажников-ремонтников выяснить, кто или что конкретно дает такой мусор. Прикольно. Не понял сатиры. После выяснения точного источника флуда (дом № хх, подъезд y, этаж Z) вы лично отправляетесь туда? А я просто не выясняю источники флуда, ибо мне это незачем :) См. пост s.lobanov выше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mallorn Опубликовано 21 июля, 2011 (изменено) · Жалоба Остаётся лишь вопрос что дороже - квалифицированные монтёры или управляемое оборудование. Понятно, что можно выключить порт \ vlan на порту. Но: 1. лучше источник выяснить на месте 2. если это абонент - отключить его насовсем. Физически. Ибо подобных деятелей мало, и лучше 1-2 выключить, чем из-за будут терпеть неудобства десятки людей, например. Юридически на уровне договора это вполне можно и нужно закрепить. Все это личное имхо, конечно. Изменено 21 июля, 2011 пользователем Mallorn Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GFORGX Опубликовано 21 июля, 2011 · Жалоба Остаётся лишь вопрос что дороже - квалифицированные монтёры или управляемое оборудование. Понятно, что можно выключить порт \ vlan на порту. Но: 1. лучше источник выяснить на месте 2. если это абонент - отключить его насовсем. Физически. Ибо подобных деятелей мало, и лучше 1-2 выключить, чем из-за будут терпеть неудобства десятки людей, например. Юридически на уровне договора это вполне можно и нужно закрепить. Все это личное имхо, конечно. Давайте, для начала обозначим, какие "деяния" Вы имеете ввиду, и почему от этих деяний терпят неудобства десятки людей? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 21 июля, 2011 · Жалоба какие "деяния" Вы имеете ввиду ARP spoofing, подмена ИП/маков, поднятие в сети DHCP/PPPoE серверов и т.п. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GFORGX Опубликовано 21 июля, 2011 (изменено) · Жалоба какие "деяния" Вы имеете ввиду ARP spoofing, подмена ИП/маков, поднятие в сети DHCP/PPPoE серверов и т.п. DHCP Snooping, IP Source Guard/IMB, ACL-и, L2-домены не более одного дома. Нет? Изменено 21 июля, 2011 пользователем GFORGX Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
loginblin Опубликовано 13 марта, 2012 · Жалоба Столкнулись с очень похожей проблемой и тоже на dlink. Вам не удалось найти ее корни? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
f-coder Опубликовано 20 августа, 2012 · Жалоба Столкнулись с очень похожей проблемой и тоже на dlink. Вам не удалось найти ее корни? Прошивка 5.20.011 виновата! Прошил все свичи на 2.01.002 уже больше пол года ни каких проблем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...