Перейти к содержимому
Калькуляторы

Сканируют сеть. Как защищаться? Dlink DGS-3610

Добрый день. Существует такая проблема:

В сети стоят 2 Dlink DGS-3610 на котором терменируются вланы. (Настроены SuperVlan'ы)

У абонентов IPOE, белый адрес выдается по dhcp абонентам сразу. У нас /19 сеть и она поделена на 3610 примерно поровну.

(дальше уже стоят циски для интернета, у каждого айпишника своя сессия)

Несколько месяцев уже вот, наблюдаю такая картину: оба 3610 раза 2-4 в день отваливаются по управлению и у некоторых абонентов перестает работать интернет. (не у всех, а примерно у 5% пользователей) Происходит это на 2 минуты. Причем 3610 овталиваются по очереди.

 

Подключился консолью к 3610 который отваливается первым. Вижу что цпу загружено на 99.99%, больше всего стараются процесы tnet и tarptime

И сделал команду sh arp count, увидел, что в момент такого лага incomplete записей больше 100 (при нормально работе 5-20 не больше)

С помощью sh arp inc понял, что идет сканирование моей /19 сети, от сюда и понятно почему 3610 отваливаются поочереди т.к. сначало идет сканирование первой части сети которая на одном 3610, потом начинает лагать второй 3610 со второй частью сети.

На 3610 настроена функция NFPP ARP-GUARD которая срабатывает на пользователя, у которого arp 10pps. А значит я делаю вывод, что сканирование идет извне (то-есть с интернета).

 

Подскажите, что можно сделать с этим?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

FW какая? На 10.4 ветке я так и не смог побороть загруку tarp и какойто там еще хрени. На 10.3 куда стабильней.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Уходите на 10.3. Я аггрегирую на 10.3, в той задаче где куча маков и куча арпов оно работает лучше. От NFPP вообще вред один, старый arp guard был не хуже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это одна из причин, по которой не надо использовать L3-свитчи для терминирования абонентов.

 

У cisco L3-свитчей есть обходное решение этой проблемы - создание маршрута /32 dhcp relay-agent'ом, в всё остальное в NULL0, фактически примерно тоже самое делают нормальные брасы.

 

Не знаю умеет ли так dlink 3610 и сколько вообще он поддерживает маршрутов.

 

Еще можно попросить длинк сделать фичу отключения arp who-has(если её нет) для внешних пакетов и уменьшить lease time до arp aging time, чтобы в арпе всегда что-то было для активных абонентов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

кстати хочу себя немного поправить, я пока анализирую проблему и делаю вывод что скан всетаки идет не извне а внутри сети

и arp-guard тут не поможет т.к. "нарушителя" заблочит только когда он будет сканить в пределах своей /25 или /24 сети (у нас на абонентов такие)

 

но вопрос всеравно остается открытым... как же защищаться...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а если на 3610 сделать ACL что-бы абоненты не могли пинговать друг друга, это поможет в том случае если сканирование идет через icmp?

или пакет будет дропаться, но 3610 всеравно сделает arp reply на destination адрес в дропнутом пакете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вопрос всеравно остается открытым... как же защищаться...

Зеркалировать трафик на компьютер со сниффером, например.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Зеркалировать трафик на компьютер со сниффером, например.

Не единожды слышу подобный совет, а вот как его осуществить на реальной сети?

Ведь в 99,9% случаев коммутаторы, на которых необходимо зеркалировать порт, находятся не на столе админа.

И не столь редко, что и за тридевять земель.. Как быть в этом случае?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

в моем случае именно так

ну отсниферю я.. разберусь например с одним конкретным абонентом или поставлю acl на него

дальше все время чтоли так делать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

е единожды слышу подобный совет, а вот как его осуществить на реальной сети?

Ведь в 99,9% случаев коммутаторы, на которых необходимо зеркалировать порт, находятся не на столе админа.

И не столь редко, что и за тридевять земель.. Как быть в этом случае?

 

зеркалишь в один порт, из этого порта патчкорд в другой порт на котором access-port в специальный vlan, который идет прям к тому заветному компу со сниффером.

Нэ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

да нет возможности сейчас такой

я 2 месяца выбивал что-бы подключили сервер консолью к 3610

по-этому мне нужно другое решение...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

зеркалишь в один порт, из этого порта патчкорд в другой порт на котором access-port в специальный vlan, который идет прям к тому заветному компу со сниффером.

Нэ?

А без "перемычки" между портами никак не обойтись?

Пытаюсь решить близкую по смыслу задачу - найти свитчи, пропускающие броадкаст, который должет быть отфильтрован ACL-ом.

Под подозрение попадает вроде бы небольшой сегмент из приблизительно 5 свитчей, но проблема в том, что сеть существенно географически удалена от меня..

В принципе, найти человека на месте, который сможет обежать нужные узлы и "воткнуть патчкорд" возможно, но не хотелось бы лишний раз кого-либо напрягать, не имея полной уверенности в результате.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не знаю как на 10.4, но на 10.3 по дефолту стоит 3 arp запроса через 5 секунд при заполнении arp таблицы. Надо настроить данные параметры, а так же настроить максимальное количество incomplete записей в arp таблице. После этих настроек нагрузка на процессор не превышает 18-20% даже в ЧНН.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

RSPAN?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

rspan вещь, но есть она не во всех коммутаторах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не знаю как на 10.4, но на 10.3 по дефолту стоит 3 arp запроса через 5 секунд при заполнении arp таблицы. Надо настроить данные параметры, а так же настроить максимальное количество incomplete записей в arp таблице. После этих настроек нагрузка на процессор не превышает 18-20% даже в ЧНН.

а знаешь команды как это дело настраивать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а знаешь команды как это дело настраивать?

У меня установлено так:

arp unresolve 200
arp retry times 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.