Yutaro21 Posted January 28, 2014 Posted January 28, 2014 (edited) Хочется настроить как можно грамотнее для работы и защиты коммутатор snr 2950(обеспечивают абонентский доступ на домах), но к несчастью багаж знаний не настолько велик. Что можете посоветовать? На что обратить внимание? Методом гугла и чтения мануалов определил в частности: 1)защита от вещания DHCP с абонентских портов ip dhcp snooping enable ! Interface Ethernet1/25 ip dhcp snooping trust ! Interface Ethernet1/26 ip dhcp snooping trust ! 2) Защита от колец. Interface Ethernet1/1 loopback-detection specified-vlan "номер абонентского влана" loopback-detection control shutdown ! ............... ! Interface Ethernet1/24 loopback-detection specified-vlan "номер абонентского влана" loopback-detection control shutdown ! 3) Настроить NTP ntp enable ntp server "ip адрес сервера ntp" Каким образом правильно настроить логирование на этом коммутаторе? logging "ip адрес лог сервера" level debugging logging executed-commands enable этого достаточно? Edited January 28, 2014 by Yutaro21 Вставить ник Quote
megahertz0 Posted January 28, 2014 Posted January 28, 2014 Вот шаблон под ipoe (opt82) для 2960, там все то же самое как и в 2950. ! service password-encryption ! hostname SNR.Pearl.Serv sysLocation XXX sysContact XXX ! username recovery privilege 15 password 7 XXX ! authentication line console login local tacacs authentication line vty login local tacacs accounting line console exec start-stop tacacs accounting line vty exec start-stop tacacs ! ! clock timezone +4 add 4 0 ! logging 10.201.0.5 ! ssh-server enable ! tacacs-server authentication host 10.201.0.4 key 7 XXX ! snmp-server enable snmp-server community ro 7 XXX access snmp_hosts ! ip dhcp snooping enable ip dhcp snooping binding enable ! ip dhcp snooping information enable ip dhcp snooping information option subscriber-id format hex ! ! lldp enable ! spanning-tree spanning-tree mode mstp ! ! ! ! vlan 1 ! vlan 200 name Management ! vlan 324 ! ! firewall enable ! ip access-list standard snmp_hosts permit 10.201.0.0 0.0.0.255 permit 10.0.100.0 0.0.0.255 deny any-source exit ! ip access-list extended default-drop deny tcp any-source s-port 135 any-destination deny tcp any-source s-port 139 any-destination deny tcp any-source s-port 445 any-destination deny udp any-source s-port 1900 any-destination permit tcp any-source any-destination permit udp any-source any-destination permit icmp any-source any-destination exit ! Interface Ethernet1/1 lldp disable spanning-tree portfast bpdufilter switchport access vlan 324 ip access-group default-drop in spanning-tree portfast bpdufilter ip dhcp snooping binding user-control ip dhcp snooping binding user-control max-user 1 ! Interface Ethernet1/25 lldp transmit optional tlv portDesc sysName sysDesc sysCap switchport mode trunk ip dhcp snooping trust ! Interface Ethernet1/26 lldp transmit optional tlv portDesc sysName sysDesc sysCap switchport mode trunk ip dhcp snooping trust ! Interface Ethernet1/27 lldp transmit optional tlv portDesc sysName sysDesc sysCap switchport mode trunk ip dhcp snooping trust ! Interface Ethernet1/28 lldp transmit optional tlv portDesc sysName sysDesc sysCap switchport mode trunk ip dhcp snooping trust ! no interface Vlan 1 ! interface Vlan200 ip address 10.200.2.165 255.255.0.0 ! ip default-gateway 10.200.0.1 ! ntp enable ntp server 10.200.0.1 ! ! no login ! ! end Вставить ник Quote
Yutaro21 Posted January 28, 2014 Author Posted January 28, 2014 (edited) megahertz0, Как я понимаю это правило разрешает с абонентского порта трафик на access-list default-drop только для access-group? ip access-list extended default-drop deny tcp any-source s-port 135 any-destination deny tcp any-source s-port 139 any-destination deny tcp any-source s-port 445 any-destination deny udp any-source s-port 1900 any-destination permit tcp any-source any-destination permit udp any-source any-destination permit icmp any-source any-destination exit ! Interface Ethernet1/1 ip access-group default-drop in Edited January 28, 2014 by Yutaro21 Вставить ник Quote
megahertz0 Posted January 28, 2014 Posted January 28, 2014 megahertz0, Как я понимаю это правило разрешает с абонентского порта трафик на access-list default-drop только для access-group? ip access-list extended default-drop deny tcp any-source s-port 135 any-destination deny tcp any-source s-port 139 any-destination deny tcp any-source s-port 445 any-destination deny udp any-source s-port 1900 any-destination permit tcp any-source any-destination permit udp any-source any-destination permit icmp any-source any-destination exit ! Interface Ethernet1/1 ip access-group default-drop in Нет, оно обрезает исходящий трафик от стандартных виндовых сервисов и пропускает все остальное. Можно поменять по вкусу. Вставить ник Quote
Yutaro21 Posted January 28, 2014 Author Posted January 28, 2014 (edited) megahertz0, а как таким образом можно трафик блокировать с абонентского порта до подсети(к примеру Management)? так правильно? ip access-list extended default-drop deny tcp any-source 10.201.0.0 0.0.0.255 permit tcp any-source any-destination exit Edited January 28, 2014 by Yutaro21 Вставить ник Quote
srg555 Posted January 28, 2014 Posted January 28, 2014 правильная настройка это следствие дизайна. т.е. дизайн определяет то, что должно быть настроено например использование dhcp snooping без opt82 сразу говорит о том что ваш дизайн говно(нет л2 изоляции кастомеров). или же это неправильная настройка(включена лишняя функция) хотя и opt82 это крайне спорный дизайн, но всё же имеет право на существование, когда нет денег или знаний под терминирования влан пер юзер отсутствие выделенного mgmt влан это вообще смертный грех Вставить ник Quote
megahertz0 Posted January 29, 2014 Posted January 29, 2014 правильная настройка это следствие дизайна. т.е. дизайн определяет то, что должно быть настроено например использование dhcp snooping без opt82 сразу говорит о том что ваш дизайн говно(нет л2 изоляции кастомеров). или же это неправильная настройка(включена лишняя функция) хотя и opt82 это крайне спорный дизайн, но всё же имеет право на существование, когда нет денег или знаний под терминирования влан пер юзер отсутствие выделенного mgmt влан это вообще смертный грех Это вы мне? Вставить ник Quote
Yutaro21 Posted January 30, 2014 Author Posted January 30, 2014 (edited) megahertz0, пожалуйста не обижайся, думаю специального умысла там не было! srg555, в ваших словах есть доля горькой правды, в таком случае предложите свой пример или вариант ибо просто воздух словами сотрясать и мы можем! Задача настроить коммутатор на доступе, защитить его на канальном уровне(в первую очередь от абонентов). Edited January 30, 2014 by Yutaro21 Вставить ник Quote
srg555 Posted January 30, 2014 Posted January 30, 2014 megahertz0 автору Yutaro21 вам нужно думать не о конкретном коммутаторе, а о дизайне в целом начнём с того что вы хотите - pppoe, голый ipoe, l2tp, различные вариации dual access? на каком железе хотите терминировать абонентов? можно сделать универсально - vlan-per-user, но тогда надо убедиться что вы сможете затерминировать кучу вланов самый простой вариант и очень стабильный - vlan-per-switch pppoe. но это не модно вообщем нет правильной настройки. есть настройка свитча под конкретный дизайн сети Вставить ник Quote
BasilKlyev Posted January 31, 2014 Posted January 31, 2014 vlan-per-switch pppoe При такой задаче какой минимум настроек необходим (при условии что в сети существует dhcp)? Сейчас так : ! ssh-server enable ! no ip http server ! service dhcp ! ip dhcp snooping enable ! ! ! ! ! ! ! loopback-detection interval-time 10 1 ! loopback-detection control-recovery timeout 30 ! vlan 1;2;10 ! Interface Ethernet0/0/1 switchport access vlan 10 loopback-detection specified-vlan 10 loopback-detection control shutdown ! ! Interface Ethernet0/0/26 switchport mode trunk ip dhcp snooping trust ! ! interface Vlan1 shutdown ! interface Vlan2 ip address 192.168.1.5 255.255.255.0 ! ip default-gateway 192.168.1.254 ! ! exec-timeout 5 0 login ! Вставить ник Quote
srg555 Posted January 31, 2014 Posted January 31, 2014 по dhcp локалка или просто чтоб венда не ругалась? если влан-пер свитч, то вместо dhcp snooping лучше порт-изоляцию сделать. но тут возникает вопрос о том, контроллирует ли арп точка терминации(но и снупинг сам по себе с этим не борется) и то что вы хотите это не чистый pppoe, а разновидность дуал аксесс Вставить ник Quote
BasilKlyev Posted January 31, 2014 Posted January 31, 2014 Чистый пппое, что бы винда не ругалась. А портизоляцию какой коммандой ? Что то не видел в доках помоему. Вставить ник Quote
srg555 Posted January 31, 2014 Posted January 31, 2014 Убирайте снупинг, делайте порт-изоляцию http://data.nag.ru/SNR%20Switches/Configuration%20Guide/SNR-S2950-24G%20Configuration%20Guide%20v1.0.pdf Chapter 4 Вставить ник Quote
megahertz0 Posted January 31, 2014 Posted January 31, 2014 Убирайте снупинг, делайте порт-изоляцию http://data.nag.ru/S...uide%20v1.0.pdf Chapter 4 А ведь снупинг не только блочит dhcp offer от клиента, но еще и ограничивает pps dhcp. DHCP Relay на l3-свитчах как правило работает программно, так что защититься от бомбардировки точки терминации по dhcp не мешало бы. К стати, если используется pppoe, то можно включить pppoe intermediate agent. Тогда можно легко отследить, откуда прилатают pppoe-фреймы. Ну и запретить PADS-фреймы от абонов. Вставить ник Quote
BasilKlyev Posted February 1, 2014 Posted February 1, 2014 Ну китайцы блин в своем репертуаре ... На циске на интерфейс прописал "switchport protected" и все. А тут : ! isolate-port group user switchport interface ethernet 1/24 isolate-port group user switchport interface ethernet 1/23 isolate-port group user switchport interface ethernet 1/22 isolate-port group user switchport interface ethernet 1/21 isolate-port group user switchport interface ethernet 1/20 isolate-port group user switchport interface ethernet 1/19 isolate-port group user switchport interface ethernet 1/18 isolate-port group user switchport interface ethernet 1/17 isolate-port group user switchport interface ethernet 1/16 isolate-port group user switchport interface ethernet 1/15 isolate-port group user switchport interface ethernet 1/14 isolate-port group user switchport interface ethernet 1/13 isolate-port group user switchport interface ethernet 1/12 isolate-port group user switchport interface ethernet 1/11 isolate-port group user switchport interface ethernet 1/10 isolate-port group user switchport interface ethernet 1/9 isolate-port group user switchport interface ethernet 1/8 isolate-port group user switchport interface ethernet 1/7 isolate-port group user switchport interface ethernet 1/6 isolate-port group user switchport interface ethernet 1/5 isolate-port group user switchport interface ethernet 1/4 isolate-port group user switchport interface ethernet 1/3 isolate-port group user switchport interface ethernet 1/2 isolate-port group user switchport interface ethernet 1/1 ! Вставить ник Quote
srg555 Posted February 1, 2014 Posted February 1, 2014 Убирайте снупинг, делайте порт-изоляцию http://data.nag.ru/S...uide%20v1.0.pdf Chapter 4 А ведь снупинг не только блочит dhcp offer от клиента, но еще и ограничивает pps dhcp. DHCP Relay на l3-свитчах как правило работает программно, так что защититься от бомбардировки точки терминации по dhcp не мешало бы. К стати, если используется pppoe, то можно включить pppoe intermediate agent. Тогда можно легко отследить, откуда прилатают pppoe-фреймы. Ну и запретить PADS-фреймы от абонов. 99.9% dhcp-атак это broadcast dhcp-дискавер и его лучше порезать broadcast контролем, чем снупингом. Вставить ник Quote
TerAnYu Posted April 29, 2021 Posted April 29, 2021 (edited) Здравствуйте! Имеется SNR-S2985G-48T, в дефолтном конфиге. Пытаюсь настроить NTP клиента, но коммутатор игнорирует параметры, и считает что сейчас Tue Jan 10 21:36:44 2006. Как его вразумить? Spoiler Конфигурация: SNR-S2985G-48T# show run ! no service password-encryption ! hostname SNR-S2985G-48T sysLocation Building 57/2,Predelnaya st, Ekaterinburg, Russia sysContact support@nag.ru ! username admin privilege 15 password 0 admin ! authentication line console login local ! ! clock timezone +7 add 7 0 ! ! ssh-server enable ! snmp-server enable snmp-server securityip disable snmp-server community rw 0 public snmp-server community ro 0 snr_pub snmp-server community rw 0 private no rmon enable ! ! ! ! ! ! ! ! vlan 1 ! Interface Ethernet1/0/1 ! Interface Ethernet1/0/2 ! Interface Ethernet1/0/3 ! Interface Ethernet1/0/4 ! Interface Ethernet1/0/5 ! Interface Ethernet1/0/6 ! Interface Ethernet1/0/7 ! Interface Ethernet1/0/8 ! Interface Ethernet1/0/9 ! Interface Ethernet1/0/10 ! Interface Ethernet1/0/11 ! Interface Ethernet1/0/12 ! Interface Ethernet1/0/13 ! Interface Ethernet1/0/14 ! Interface Ethernet1/0/15 ! Interface Ethernet1/0/16 ! Interface Ethernet1/0/17 ! Interface Ethernet1/0/18 ! Interface Ethernet1/0/19 ! Interface Ethernet1/0/20 ! Interface Ethernet1/0/21 ! Interface Ethernet1/0/22 ! Interface Ethernet1/0/23 ! Interface Ethernet1/0/24 ! Interface Ethernet1/0/25 ! Interface Ethernet1/0/26 ! Interface Ethernet1/0/27 ! Interface Ethernet1/0/28 ! Interface Ethernet1/0/29 ! Interface Ethernet1/0/30 ! Interface Ethernet1/0/31 ! Interface Ethernet1/0/32 ! Interface Ethernet1/0/33 ! Interface Ethernet1/0/34 ! Interface Ethernet1/0/35 ! Interface Ethernet1/0/36 ! Interface Ethernet1/0/37 ! Interface Ethernet1/0/38 ! Interface Ethernet1/0/39 ! Interface Ethernet1/0/40 ! Interface Ethernet1/0/41 ! Interface Ethernet1/0/42 ! Interface Ethernet1/0/43 ! Interface Ethernet1/0/44 ! Interface Ethernet1/0/45 ! Interface Ethernet1/0/46 ! Interface Ethernet1/0/47 ! Interface Ethernet1/0/48 ! Interface Ethernet1/0/49 ! Interface Ethernet1/0/50 ! Interface Ethernet1/0/51 ! Interface Ethernet1/0/52 ! interface Vlan1 ip dhcp-client enable ! ntp enable ntp server host 10.1.48.1 ntp server host 10.1.48.4 ntp server host 172.16.2.15 ! ! no login ! captive-portal ! end О железке: SNR-S2985G-48T Device, Compiled on Aug 17 17:35:17 2015 sysLocation Building 57/2,Predelnaya st, Ekaterinburg, Russia CPU Mac f8:f0:82:00:00:3f Vlan MAC f8:f0:82:00:00:3e SoftWare Version 7.0.3.5(R0241.0055) BootRom Version 7.2.22 HardWare Version 1.0.1 CPLD Version N/A Serial No.:SW052510H41------- Copyright (C) 2011-2015 NAG LLC All rights reserved Last reboot is cold reset. Uptime is 1 weeks, 2 days, 14 hours, 38 minutes Edited April 29, 2021 by TerAnYu Вставить ник Quote
Evgeny Mirhasanov Posted April 29, 2021 Posted April 29, 2021 @TerAnYu Добрый день. Обновите версию ПО, скорее всего это решит проблему. Архив с ПО Обновление и восстановление ПО на коммутаторах SNR Вставить ник Quote
TerAnYu Posted April 29, 2021 Posted April 29, 2021 @Evgeny Mirhasanov , спасибо, по результату отпишусь, к сожалению только 12/05/2021. Вставить ник Quote
TerAnYu Posted May 26, 2021 Posted May 26, 2021 Эх, заняло намного больше времени :) К сожалению с последней доступной прошивкой SNTP клиент всё равно нерабочий. Вставить ник Quote
Evgeny Mirhasanov Posted May 26, 2021 Posted May 26, 2021 @TerAnYu Добрый день. А пинг с коммутатора до серверов ntp server host 10.1.48.1 ntp server host 10.1.48.4 ntp server host 172.16.2.15 проходит? И вы ранее писали про NTP, а теперь уже SNTP. Какой вывод у команды ' show ntp status '? Вставить ник Quote
Evgeny Mirhasanov Posted May 26, 2021 Posted May 26, 2021 Коллеги, ошибка найдена. Вместо: ntp server host 10.1.48.1 ntp server host 10.1.48.4 ntp server host 172.16.2.15 нужно использовать: ntp server 10.1.48.1 ntp server 10.1.48.4 ntp server 172.16.2.15 т.е. слово 'host' в команде лишнее. Вставить ник Quote
TerAnYu Posted June 1, 2021 Posted June 1, 2021 (edited) On 5/26/2021 at 6:06 PM, Evgeny Mirhasanov said: проходит? И вы ранее писали про NTP, а теперь уже SNTP. перепутал, обычно это одно и тоже, ну или, по крайней мере, всё равно работает ....@Evgeny Mirhasanov , да, спасибо, всё заработало! Edited June 1, 2021 by TerAnYu Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.