Jump to content
Калькуляторы

Правильная настройка SNR 2950 Настройка конфигурации коммутатора SNR 2950 на домах

Хочется настроить как можно грамотнее для работы и защиты коммутатор snr 2950(обеспечивают абонентский доступ на домах), но к несчастью багаж знаний не настолько велик.

Что можете посоветовать? На что обратить внимание?

 

Методом гугла и чтения мануалов определил в частности:

 

1)защита от вещания DHCP с абонентских портов

 

ip dhcp snooping enable

 

!

Interface Ethernet1/25

ip dhcp snooping trust

!

Interface Ethernet1/26

ip dhcp snooping trust

!

 

2) Защита от колец.

 

Interface Ethernet1/1

loopback-detection specified-vlan "номер абонентского влана"

loopback-detection control shutdown

!

...............

 

!

Interface Ethernet1/24

loopback-detection specified-vlan "номер абонентского влана"

loopback-detection control shutdown

!

 

3) Настроить NTP

 

ntp enable

ntp server "ip адрес сервера ntp"

 

Каким образом правильно настроить логирование на этом коммутаторе?

 

logging "ip адрес лог сервера" level debugging

logging executed-commands enable

 

этого достаточно?

Edited by Yutaro21

Share this post


Link to post
Share on other sites

Вот шаблон под ipoe (opt82) для 2960, там все то же самое как и в 2950.

 

!
service password-encryption
!
hostname SNR.Pearl.Serv
sysLocation XXX
sysContact XXX
!
username recovery privilege 15 password 7 XXX
!
authentication line console login local tacacs
authentication line vty login local tacacs
accounting line console exec start-stop tacacs
accounting line vty exec start-stop tacacs
!
!
clock timezone +4 add 4 0
!
logging 10.201.0.5
!
ssh-server enable
!
tacacs-server authentication host 10.201.0.4 key 7 XXX
!
snmp-server enable
snmp-server community ro 7 XXX access snmp_hosts
!
ip dhcp snooping enable
ip dhcp snooping binding enable
!
ip dhcp snooping information enable
ip dhcp snooping information option subscriber-id format hex
!
!
lldp enable
!
spanning-tree
spanning-tree mode mstp
!
!
!
!
vlan 1
!
vlan 200
name Management
!
vlan 324
!
!
firewall enable
!
ip access-list standard snmp_hosts
 permit 10.201.0.0 0.0.0.255
 permit 10.0.100.0 0.0.0.255
 deny any-source
 exit
!
ip access-list extended default-drop
 deny tcp any-source s-port 135 any-destination
 deny tcp any-source s-port 139 any-destination
 deny tcp any-source s-port 445 any-destination
 deny udp any-source s-port 1900 any-destination
 permit tcp any-source any-destination
 permit udp any-source any-destination
 permit icmp any-source any-destination
 exit
!
Interface Ethernet1/1
lldp disable
spanning-tree portfast bpdufilter
switchport access vlan 324
ip access-group default-drop in
spanning-tree portfast bpdufilter
ip dhcp snooping binding user-control
ip dhcp snooping binding user-control max-user 1
!
Interface Ethernet1/25
lldp transmit optional tlv portDesc sysName sysDesc sysCap
switchport mode trunk
ip dhcp snooping trust
!
Interface Ethernet1/26
lldp transmit optional tlv portDesc sysName sysDesc sysCap
switchport mode trunk
ip dhcp snooping trust
!
Interface Ethernet1/27
lldp transmit optional tlv portDesc sysName sysDesc sysCap
switchport mode trunk
ip dhcp snooping trust
!
Interface Ethernet1/28
lldp transmit optional tlv portDesc sysName sysDesc sysCap
switchport mode trunk
ip dhcp snooping trust
!
no interface Vlan 1
!
interface Vlan200
ip address 10.200.2.165 255.255.0.0
!
ip default-gateway 10.200.0.1
!
ntp enable
ntp server 10.200.0.1
!
!
no login
!
!
end

Share this post


Link to post
Share on other sites

megahertz0, Как я понимаю это правило разрешает с абонентского порта трафик на access-list default-drop только для access-group?

 

ip access-list extended default-drop

deny tcp any-source s-port 135 any-destination

deny tcp any-source s-port 139 any-destination

deny tcp any-source s-port 445 any-destination

deny udp any-source s-port 1900 any-destination

permit tcp any-source any-destination

permit udp any-source any-destination

permit icmp any-source any-destination

exit

!

Interface Ethernet1/1

ip access-group default-drop in

Edited by Yutaro21

Share this post


Link to post
Share on other sites

megahertz0, Как я понимаю это правило разрешает с абонентского порта трафик на access-list default-drop только для access-group?

 

ip access-list extended default-drop

deny tcp any-source s-port 135 any-destination

deny tcp any-source s-port 139 any-destination

deny tcp any-source s-port 445 any-destination

deny udp any-source s-port 1900 any-destination

permit tcp any-source any-destination

permit udp any-source any-destination

permit icmp any-source any-destination

exit

!

Interface Ethernet1/1

ip access-group default-drop in

Нет, оно обрезает исходящий трафик от стандартных виндовых сервисов и пропускает все остальное. Можно поменять по вкусу.

Share this post


Link to post
Share on other sites

megahertz0, а как таким образом можно трафик блокировать с абонентского порта до подсети(к примеру Management)?

так правильно?

ip access-list extended default-drop

deny tcp any-source 10.201.0.0 0.0.0.255

permit tcp any-source any-destination

exit

Edited by Yutaro21

Share this post


Link to post
Share on other sites

правильная настройка это следствие дизайна. т.е. дизайн определяет то, что должно быть настроено

 

например использование dhcp snooping без opt82 сразу говорит о том что ваш дизайн говно(нет л2 изоляции кастомеров). или же это неправильная настройка(включена лишняя функция)

хотя и opt82 это крайне спорный дизайн, но всё же имеет право на существование, когда нет денег или знаний под терминирования влан пер юзер

 

отсутствие выделенного mgmt влан это вообще смертный грех

Share this post


Link to post
Share on other sites

правильная настройка это следствие дизайна. т.е. дизайн определяет то, что должно быть настроено

 

например использование dhcp snooping без opt82 сразу говорит о том что ваш дизайн говно(нет л2 изоляции кастомеров). или же это неправильная настройка(включена лишняя функция)

хотя и opt82 это крайне спорный дизайн, но всё же имеет право на существование, когда нет денег или знаний под терминирования влан пер юзер

 

отсутствие выделенного mgmt влан это вообще смертный грех

 

Это вы мне?

Share this post


Link to post
Share on other sites

megahertz0, пожалуйста не обижайся, думаю специального умысла там не было!

srg555, в ваших словах есть доля горькой правды, в таком случае предложите свой пример или вариант ибо просто воздух словами сотрясать и мы можем!

Задача настроить коммутатор на доступе, защитить его на канальном уровне(в первую очередь от абонентов).

Edited by Yutaro21

Share this post


Link to post
Share on other sites

megahertz0

автору

 

Yutaro21

вам нужно думать не о конкретном коммутаторе, а о дизайне в целом

 

начнём с того что вы хотите - pppoe, голый ipoe, l2tp, различные вариации dual access?

 

на каком железе хотите терминировать абонентов?

 

можно сделать универсально - vlan-per-user, но тогда надо убедиться что вы сможете затерминировать кучу вланов

 

самый простой вариант и очень стабильный - vlan-per-switch pppoe. но это не модно

 

вообщем нет правильной настройки. есть настройка свитча под конкретный дизайн сети

Share this post


Link to post
Share on other sites

vlan-per-switch pppoe

При такой задаче какой минимум настроек необходим (при условии что в сети существует dhcp)?

Сейчас так :

!
ssh-server enable
!
no ip http server
!
service dhcp
!
ip dhcp snooping enable
!
!
!
!
!
!
!
loopback-detection interval-time 10 1
!
loopback-detection control-recovery timeout 30
!
vlan 1;2;10
!
Interface Ethernet0/0/1
switchport access vlan 10
loopback-detection specified-vlan 10
loopback-detection control shutdown
!
!
Interface Ethernet0/0/26
switchport mode trunk
ip dhcp snooping trust
!
!
interface Vlan1
shutdown
!
interface Vlan2
ip address 192.168.1.5 255.255.255.0
!
ip default-gateway 192.168.1.254
!
!
exec-timeout 5 0
login
!

Share this post


Link to post
Share on other sites

по dhcp локалка или просто чтоб венда не ругалась?

 

если влан-пер свитч, то вместо dhcp snooping лучше порт-изоляцию сделать. но тут возникает вопрос о том, контроллирует ли арп точка терминации(но и снупинг сам по себе с этим не борется)

 

и то что вы хотите это не чистый pppoe, а разновидность дуал аксесс

Share this post


Link to post
Share on other sites

Чистый пппое, что бы винда не ругалась.

А портизоляцию какой коммандой ? Что то не видел в доках помоему.

Share this post


Link to post
Share on other sites

Убирайте снупинг, делайте порт-изоляцию

 

http://data.nag.ru/S...uide%20v1.0.pdf Chapter 4

А ведь снупинг не только блочит dhcp offer от клиента, но еще и ограничивает pps dhcp. DHCP Relay на l3-свитчах как правило работает программно, так что защититься от бомбардировки точки терминации по dhcp не мешало бы.

 

К стати, если используется pppoe, то можно включить pppoe intermediate agent. Тогда можно легко отследить, откуда прилатают pppoe-фреймы. Ну и запретить PADS-фреймы от абонов.

Share this post


Link to post
Share on other sites

Ну китайцы блин в своем репертуаре ...

На циске на интерфейс прописал "switchport protected" и все.

А тут :

!
isolate-port group user switchport interface ethernet 1/24
isolate-port group user switchport interface ethernet 1/23
isolate-port group user switchport interface ethernet 1/22
isolate-port group user switchport interface ethernet 1/21
isolate-port group user switchport interface ethernet 1/20
isolate-port group user switchport interface ethernet 1/19
isolate-port group user switchport interface ethernet 1/18
isolate-port group user switchport interface ethernet 1/17
isolate-port group user switchport interface ethernet 1/16
isolate-port group user switchport interface ethernet 1/15
isolate-port group user switchport interface ethernet 1/14
isolate-port group user switchport interface ethernet 1/13
isolate-port group user switchport interface ethernet 1/12
isolate-port group user switchport interface ethernet 1/11
isolate-port group user switchport interface ethernet 1/10
isolate-port group user switchport interface ethernet 1/9
isolate-port group user switchport interface ethernet 1/8
isolate-port group user switchport interface ethernet 1/7
isolate-port group user switchport interface ethernet 1/6
isolate-port group user switchport interface ethernet 1/5
isolate-port group user switchport interface ethernet 1/4
isolate-port group user switchport interface ethernet 1/3
isolate-port group user switchport interface ethernet 1/2
isolate-port group user switchport interface ethernet 1/1
!

Share this post


Link to post
Share on other sites

Убирайте снупинг, делайте порт-изоляцию

 

http://data.nag.ru/S...uide%20v1.0.pdf Chapter 4

А ведь снупинг не только блочит dhcp offer от клиента, но еще и ограничивает pps dhcp. DHCP Relay на l3-свитчах как правило работает программно, так что защититься от бомбардировки точки терминации по dhcp не мешало бы.

 

К стати, если используется pppoe, то можно включить pppoe intermediate agent. Тогда можно легко отследить, откуда прилатают pppoe-фреймы. Ну и запретить PADS-фреймы от абонов.

 

99.9% dhcp-атак это broadcast dhcp-дискавер и его лучше порезать broadcast контролем, чем снупингом.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now