[woddy]

P.S. А правильная организация сети это при неслабом межпользовательском трафике гнать все вланами через маршрутизатор вместо того чтобы зарезать все на доступе ?

да, и это правильно. не слабый это какой? пара гигабит хотя бы наберется? :)

[Дятел]

P.S. А правильная организация сети это при неслабом межпользовательском трафике гнать все вланами через маршрутизатор вместо того чтобы зарезать все на доступе ?

 

а ему, маршрутизатору, глубоко пофигу, он не лопатой и узбеками маршрутизит, а микросхемами.

[Дятел]

Вот такое старьё запросто терминит под 1000 вланов с нагрузкой на проц менее 10%. И роутит трафик на скорости портов.

Если сеть не распределённая, а централизованная, и необходимо терминить больше, то до 4К вланов терминит сап32 с пропускной способностью шины 16Г в каждую сторону. Если трафика ещё больше (в чем лично я очень сомневаюсь), то сап720.

[M-a-x-Z]

что мешает сделать например так:

ip access-list ext 111

permit ip host 10.11.22.33 any

- разрешит только ip протокол от хоста, все остальне вырежет.

Тем не менее ARP пакеты с чужим IP будут ходить поскольку arp это не ip. ipx по идее тоже (не проверял) и первый же arp-вирус устроит в этом сегменте тотальный трындец.

Ну по порядку.

1) Функция фильтрации arp в 2960 была добавлена только этой весной, поэтому доков в инете на эту тему мало. На существующих свитчах лечится перепрошивкой. Какой - сейчас не скажу искать надо.

2) Тотальный трындец на практике не приходит даже в огромных неуправляемых сегментах, хотя...риск конечно есть. Намного опаснее в данном случае такие утилиты как каин и абель или ethercap.

3) Функция которая вас интересует называется Dynamic Arp Inspection (DAI) http://xgu.ru/wiki/Dynamic_ARP_Protection. Если необходим высокий уровень безопасности включается одновременно с DHCP snooping, port-security, mac-protection и обычными ACL. После этого коммутатор становится непробиваемой крепостью - нещадно режится всё, что хоть как-то может быть зловредным. Недостаток - сложность настройки. А точнее - поддержание актуальности настроек при большом количестве портов. Скрипты это отчасти упрощают.

 

Вобщем рекомендую ознакомиться с доками от производителя. Линк не дам, т.к. сейчас некогда искать, но на сайте cisco.com точно было. И ещё уточните список версий прошивки, на которых DAI работает. Есть подожрение что на Lan Lite его нет.

 

П.С. когда писал сообщение не заметил второй страницы, где уже указали на DAI - сорри)

Изменено 17 сентября, 2011 пользователем M-a-x-Z

[T_Igor]

У нас после перехода на VLAN-per-user отпала необходимость фильтровать на доступе, тех.поддержке стало легче - освободились от рутины. Да здравствует VLAN-per-user и ip unnumbered!

[Regressor]

Попробовал. Как-то DAI не вставило. А можно тоже самое, но с перламутровыми пуговицами без привязки к MAC ? :) Вот если бы этот arp access-list можно было вешать на интерфейсы... Тогда бы висела на каждом порту конструкция из двух acl типа permit ip host 10.10.10.10 any/deny any any ; permit ip host 10.10.10.10 mac any/deny any any и было бы щастье. DHCP пока к сожалению не вариант. В будущем все будет переделано по человечески, а железо надо заказывать уже щас. Так что остается DES-3552

[alexaaa]

Нашим от 4 лет до года.... Равномерно по возрасту размазаны....

Вы хотите сказать что через 4 года все D-link коммутаторы начнут накрываться из-за высыхания конденсаторов, похоже на бред какой-то, я понимаю на блоке питания могут греться и высыхать конденсаторы, это как должен свичь нагреваться чтобы в нём сохли кондёры и от каких условий хранения, может вы их на чердаках ставите, но на материнской плате там где 12В питание должны не менее 10-15 лет работать, чем вы их тогда питаете, даже простые спутниковые ресиверы работают 10 лет без остановки.

Изменено 20 сентября, 2011 пользователем alexaaa

[NiTr0]

похоже на бред какой-то

Все зависит от качества конденсаторов. Если сэкономили где-то копейку, поставив нонейм вместо бренда - оно и издохнет. Даже от хранения а складе.

[Regressor]

Бред не бред - это вполне реальная ощутимая реальность. Коммутаторы стоят в шкафах. Шкафы висят в кабинетах. Температура внутри шкафа градусов 25-35 (там еще нетботz имеются) иногда кратковременно до 40. По питанию - APC 1000 бесперебойники. Наш ремонтник уже третий день пытается собрать из нескольких трупов хотя бы один живой.

[darkagent]

Наш ремонтник уже третий день пытается собрать из нескольких трупов хотя бы один живой.

берите хьюлиты. и тогда этот момент отпадет сам собой - вам просто будут мертвых заменять.

[M-a-x-Z]

Попробовал. Как-то DAI не вставило. А можно тоже самое, но с перламутровыми пуговицами без привязки к MAC ? :) Вот если бы этот arp access-list можно было вешать на интерфейсы... Тогда бы висела на каждом порту конструкция из двух acl типа permit ip host 10.10.10.10 any/deny any any ; permit ip host 10.10.10.10 mac any/deny any any и было бы щастье. DHCP пока к сожалению не вариант. В будущем все будет переделано по человечески, а железо надо заказывать уже щас. Так что остается DES-3552

Насколько я помню необходимо включить DHCP snooping, а потом создать статические записи соответствия IP-порт. Тогда DAI будет работать. Мне кажется что-то такое было в настройках.

[Regressor]

По уточненным данным умершим свичам по 5 с лишним лет :) У трех сдохли процессоры из-за пробитого стабилизатора. Стаб умер из-за кондеров. У остальных BCMы (сетевые процессоры) по той же причине. Пробуем сделать франкенштейна :) Походу у всех свичей этого возраста (старше 4 лет) надо преветивно менять кондеры.

 

Доки по DAI скачал с циски, читал. Много думал. Обновил прошивку на ближайшей 3650 и долго и вдумчиво экспериментировал. По итогу выяснилось, что ip в чистом виде к порту на циске не привязывается к сожалению.

[Дятел]

бедные ёжики.... )))

[[anp/hsw]]

По уточненным данным умершим свичам по 5 с лишним лет :) У трех сдохли процессоры из-за пробитого стабилизатора. Стаб умер из-за кондеров. У остальных BCMы (сетевые процессоры) по той же причине. Пробуем сделать франкенштейна :) Походу у всех свичей этого возраста (старше 4 лет) надо преветивно менять кондеры.

 

Не майтесь дурью - если вы бюджетная организация, то направьте этих франкенштейнов на платный ремонт в длинк, а они вам поменяют на бюджетные денежки их на новые.

 

По 3526 не скажу, но опыт массового ремонта 3550 говорит следующее - если после замены всех опухших кондеров у нас идет просадка на линии 2.5V (эти ключи находятся в 3550 под платой со светодиодами, а в 3526 просто чуть ближе к разьемам), то можно дальше не чинить - даже если все с виду работает, есть пробои в PHY (которые realtek). А раз есть пробои, то они успели утянуть сигнальные линии в контроллерах (которые broadcom). Даже если поднимете (перепаяв в общей сложности не менее двух чипов, один из которых BGA с кучей ног), то всеравно методики отбраковки чипов нет (если конечно вы не новые закажете) и обыно получается, что перепаиваешь совсем пробитый на не совсем пробитый, но уже греющийся.

Может и чем поможет это вашему ремонтнику.

Изменено 21 сентября, 2011 пользователем [anp/hsw]

[Картуччо]

' timestamp='1316625094' post=641547]

Не майтесь дурью - если вы бюджетная организация, то направьте этих франкенштейнов на платный ремонт в длинк, а они вам поменяют на бюджетные денежки их на новые.

В бюджетных как раз платные ремонты это немалая морока (по причине,что на это надо закладывать бюджет) и отсутствие, в отличии от первоначальной покупки, всякого профита :)

Поэтому штатные кулибины могут заниматься ремонтом вплоть до пайки.

[Regressor]

Ну если не выйдет то так и сделаем - просто теперь что-то сделать на бюджетные денежки занимает совсем неприлично времени. Не меньше трех месяцев... У нас в основном 3550 и есть - про них то и речь. У нас пара вроде как с живыми ключами на phy но с мертвыми процессорами, и наоборот. Короче сегодня все и выяснится. Про подсказку спасибо - будем смотреть.

[M-a-x-Z]

Ну если не выйдет то так и сделаем - просто теперь что-то сделать на бюджетные денежки занимает совсем неприлично времени. Не меньше трех месяцев... У нас в основном 3550 и есть - про них то и речь. У нас пара вроде как с живыми ключами на phy но с мертвыми процессорами, и наоборот. Короче сегодня все и выяснится. Про подсказку спасибо - будем смотреть.

Хм... DAI по идее должен работать в связке с DHCP snooping - тогда можно привязать ip к порту. Но там ведь есть и ручной режим на случай подключения сервера? Или при подключения сервера порт становится трастед и не волнует?

[Regressor]

Ну видимо на то и расчет - либо трастед, либо дхцп...

[M-a-x-Z]

Кст. о переходе на DHCP - могу посоветовать ещё вариант - вы можете перейдти на DHCP с использованием опции 82 - она позволяет закрепить конкретный ip за конкретным портом - таким образом это будет "почти статика" и не придётся скриптами конфигать коммутаторы, а придётся скриптами конфигать DHCP сервер на соответствие опции 82 адресу.

[T_Igor]

Кст. о переходе на DHCP - могу посоветовать ещё вариант - вы можете перейдти на DHCP с использованием опции 82 - она позволяет закрепить конкретный ip за конкретным портом - таким образом это будет "почти статика" и не придётся скриптами конфигать коммутаторы, а придётся скриптами конфигать DHCP сервер на соответствие опции 82 адресу.

Постепенно-постепенно приближаемся к VLAN-per-user, просто в DHCP с использованием опции 82 привязку сделать не к порту а к влану.

В системе VLAN-per-user уже заложена защита от всякой дряни, штормов и она сама себя бережёт и лечит. И фильтрация если нужна - то только в центре.

[Дятел]

тсссс! не мешайте ёжикам....мазохизм не лечится, дайте им получить удовольствие )))

[mcdemon]

Кст. о переходе на DHCP - могу посоветовать ещё вариант - вы можете перейдти на DHCP с использованием опции 82 - она позволяет закрепить конкретный ip за конкретным портом - таким образом это будет "почти статика" и не придётся скриптами конфигать коммутаторы, а придётся скриптами конфигать DHCP сервер на соответствие опции 82 адресу.

Постепенно-постепенно приближаемся к VLAN-per-user, просто в DHCP с использованием опции 82 привязку сделать не к порту а к влану.

В системе VLAN-per-user уже заложена защита от всякой дряни, штормов и она сама себя бережёт и лечит. И фильтрация если нужна - то только в центре.

защита от штормов на доступе всеравно нужна, ведь на ядро может литься куча броадкаста от отдного абонента

а если таких абонентов несколько, то серьезно увеличить нагрузку на cpu

[Regressor]

В общем тут вопросы задают в личку как все это сделано. Отослал личкой и выложу в теме если кому надо.

 

У меня облегчалки в виде source_ip_mask не используются - все в виде hex-чисел (шестнадцатиричная

система исчисления). Числа эти пишутся с префиксом 0x - например 1 = 0x0001, 10 = 0x000a,

34952 = 0x8888, 43704 = 0xAAB8. Правила генерятся перловым скриптом по данным из базы поэтому

они в принципе легко не читаемы. Да их на коммутаторах никто и не читает. Есть соответствующая

страничка в NMS.

 

Коммутаторы у нас DES-3550/3526 по большей части (на других длинках не пробовал, но должно работать

везде где есть packet content filtering). Там прежде чем генерить правила, надо сначала создать

профили packet_content_mask с соответствующим ID - т.е. этими профилями с помощью битовых масок

определить те части пакета, которые контролируются правилами (указать коммутатору какие именно

байты мы будем проверять в правилах). Затем дальше на созданные профили с помощью config

access_profile создаются правила разрешающие или запрещающие пакеты с определенным содержимым.

 

Я в начале темы привел пример правил для одного порта с одним адресом. Ниже с более подробными

комментариями и полностью написанными правилами. Можно и больше адресов на порт - у нас кое-где

используеться 4-5 адресов на порт (напихали народу с компами столько, что даже норм скс мало

оказалось), надо просто на профили 6/7 (пункты 2 и 4) добавить соответствующие правила.

 

1. Создается профиль 6, с масками для ethernet пакета на поля frame_type (16-17 байты фрейма)

и arp_source_ip (байты 32-35, смотрим строение ARP пакета), те биты что проверяются = 1.

Соответственно если надо проверить 2 байта начиная с 16, то там 0xFFFF

create access-profile packet_content_mask offset_16-31 0xFFFF0000 0x0 0x0 0x0 offset_32-47 0xFFFFFFFF 0x0 0x0 0x0 prof 6

 

2. На профиль 6 навешивается правило, разрешающее прохождение пакета с типом

hex 0x806 (ARP) и адресом 10.10.10.8 (hex 0x0a0a0a08) на порту 3

config access-profile profile_id 6 add access_id auto packet offset_16-31 0x08060000 0x0 0x0 0x0 offset_32-47 0x0A0A0A08 0x0 0x0 0x0 port 3 permit

 

3. Создать профиль 7 с масками для контроля типа фрейма (на 16-17 байтах ethernet-пакета как в

предыдущем профиле) и поля source_ip (см строение IP фрейма, не забываем про ethernet заголовок).

Source_ip в правилах оказывается разбит на 2 числа. Бывает. Скрипту пофик. Можно конечно

использовать полуготовый профиль длинка, но я как-то не стал их мешать с packet_content_mask

create access-profile packet_content_mask offset_16-31 0xFFFF0000 0x0 0x0 0x0000FFFF offset_32-47 0xFFFF0000 0x0 0x0 0x0 prof 7

 

4. На профиль 7 навешивается правило разрешающие IP пакеты (тип фрейма 0x0800 - IPv4)

с адреса 10.10.10.8 (числа hex 0x00000a0a 0x0a080000) на порту 3.

config access-profile profile_id 7 add access_id auto packet offset_16-31 0x08000000 0x0 0x0 0x0A0A offset_32-47 0x0A080000 0x0 0x0 0x0 port 3 permit

 

5. Создается профиль 8 с масками 0x0 - т.е. содержимое пакета не проверяется

ибо не надо (все равно все что нужно уже разрешили, а остальное запрещаем).

create access-profile packet_content_mask offset_0-15 0x0 0x0 0x0 0x0 profile_id 8

 

6. На профиль навешивается запрещающее все пакеты на порту 3 правило

config access-profile profile_id 8 add access_id auto packet offset_0-15 0x0 0x0 0x0 0x0 port 3 deny

 

7. У меня в примере нет, но возможно потребуется на профилях 6/7 создать правила

разрешающие отсылку IP/ARP пакетов с IP 0.0.0.0 (hex 0x00000000) - windows

бывает использует при автоматическом получении адреса. На аплинках и портах,

к которым подключены роутеры, запрещающее правило не нужно.

 

З.Ы. Эта система фильтрации в длинках не что иное как прямой интерфейс к фильтровалке сетевого

процессора свича с некоторыми логическими ограничениями. Очень и очень гибкая вещь - с ее

помощью можно отфильтровать что угодно если знаешь строение пакетов. Странно, что циска,

порой использующая такие же чипы в своем железе до такого не додумалась (стремление к

унификации софта ? дак он у них и так ощутимо разный от модели к модели). Да в общем больше

нигде такого не видел, почему и начал эту тему.

 

З.З.Ы. Таки добыли мы два 3550 под честное слово, что заплатим (у этой компании 3552 на складе не было).

Кризис миновал. Все .ля счастливы.

[said777]

З.Ы. Эта система фильтрации в длинках не что иное как прямой интерфейс к фильтровалке сетевого

процессора свича с некоторыми логическими ограничениями. Очень и очень гибкая вещь - с ее

помощью можно отфильтровать что угодно если знаешь строение пакетов. Странно, что циска,

порой использующая такие же чипы в своем железе до такого не додумалась (стремление к

унификации софта ? дак он у них и так ощутимо разный от модели к модели). Да в общем больше

нигде такого не видел, почему и начал эту тему.

 

И что, с выше перечисленными правилами можно блокировать флуд от клиента, т.е. если у клиента сетевая флудит или он у себя хаб закольцевал или же сам порт заглючил?

Без включения конечно на коммутаторе Loopback Detection.

[snark]

Я это еще ХЗ когда все это описывал и в блинк отсылал и несмотря на то что оно у них в факе уже давно выложено всеравно народ пишет и пишет D-Link PCF HOWTO ...

Господа, если Вы не поняли как этим пользоваться - провайдинг не для Вас - займитесь чем то другим уже, что ли.

 

2 Regressor

"респект и уважуха"(с) Вам, да только все это метание бисера :(