zkvomsk Posted September 18, 2013 Posted September 18, 2013 Добрый день! Есть коммутатор: sh ver SNR-S2960-24G Device, Compiled on May 16 22:19:41 2013 sysLocation Omsk CPU Mac 00:03:0f:2b:d8:0b Vlan MAC 00:03:0f:2b:d8:0a SoftWare Version 7.0.3.1(R0058.0002) BootRom Version 7.1.3 HardWare Version 1.0.2 CPLD Version 1.2 Serial No.:SW022910D125000246 Copyright © 2013 NAG LLC All rights reserved Last reboot is cold reset. Uptime is 0 weeks, 2 days, 1 hours, 3 minutes Наблюдаю странную проблему непрохождения пакетов isakmp через него: Есть клиентский порт с которого в vlan 18 пытаются поднять ipsec: Interface Ethernet1/13 switchport mode trunk switchport trunk allowed vlan 18;50;484;714 ! включаем мирор monitor session 1 source interface Ethernet1/13 rx monitor session 1 source interface Ethernet1/13 tx monitor session 1 destination interface Ethernet1/28 ! в Ethernet1/28 воткнут FreeBSD 9.1 с tcpdump Interface Ethernet1/28 switchport access vlan 18 ! На FreeBSD 9.1 с tcpdump видим пакеты (т.е. как минимум на свич они попадают): 15:47:20.783121 IP (tos 0x0, ttl 63, id 0, offset 0, flags [DF], proto UDP (17), length 304) 88.143.184.54.500 > 109.202.18.216.500: [udp sum ok] isakmp 1.0 msgid 00000000 cookie 72b93fe9cfab46f3->0000000000000000: phase 1 I agg: (sa: doi=ipsec situation=identity (p: #1 protoid=isakmp transform=1 (t: #1 id=ike (type=lifetype value=sec)(type=lifeduration len=4 value=00015180)(type=enc value=3des)(type=auth value=preshared)(type=hash value=sha1)(type=group desc value=modp1024)))) (ke: key len=128 76a7b5fc622a50624cb4f13e88ed2a5bb020e0fc8ff57264960396d419634bf7845217d52b92ccd9a7c618a61da0bfb14dd9f4dc3fcd81b10d6f93fbc171f4dca0076e8c7297e36315b01467764d2bc0b42909236b657d0d6323af3a213ae06b3349c7c1c00262b93dbc89470df93b74dd7c90418c84f5f32b628f85c879ed19) (nonce: n len=24 fbcda6c53fd2d039eb07f220cee2f1d7a68a5cbdf996c84c) (id: idtype=IPv4 protoid=udp port=500 len=4 88.143.184.54) (vid: len=16 afcad71368a1f1c96b8696fc77570100) Далее есть порт в который эти пакеты должны уйти далее (в нем сервак тоже с FreeBSD который сам уже пакетов не видит): Interface Ethernet1/26 switchport mode trunk switchport trunk allowed vlan 18;206;704;706;901;951;1055 ! включаем мирор уже на порт с серваком: monitor session 1 source interface Ethernet1/26 rx monitor session 1 source interface Ethernet1/26 tx monitor session 1 destination interface Ethernet1/28 ! На FreeBSD 9.1 с tcpdump в Ethernet1/28 ПУСТО, пакетов этих уже нету Возникает вопрос, а куда оно могло деться то? на свиче конфиг простейший, никаких access-group не используется... Если нужна еще какая-то дополнительная информация готов предоставить. PS Если вдруг кто-то нашел мои пакетики огромная просьба вернуть, Вам ведь они всеравно не нужны ))) PPS Очень не хватает возможности поднять 2-3 monitor session на этой модели, Вставить ник Quote
GFORGX Posted September 19, 2013 Posted September 19, 2013 Уберите из конфига: dosattack-check srcport-equal-dstport enable Скорее всего, она там есть ;) Вставить ник Quote
zkvomsk Posted September 26, 2013 Author Posted September 26, 2013 Забыл сразу написать, да, дело было именно в dosattack-check srcport-equal-dstport enable, маленькая такая неприметная строчка конфига... :) Всем спасибо за помощь! Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.