[Yutaro21]

Хочется настроить как можно грамотнее для работы и защиты коммутатор snr 2950(обеспечивают абонентский доступ на домах), но к несчастью багаж знаний не настолько велик.

Что можете посоветовать? На что обратить внимание?

 

Методом гугла и чтения мануалов определил в частности:

 

1)защита от вещания DHCP с абонентских портов

 

ip dhcp snooping enable

 

!

Interface Ethernet1/25

ip dhcp snooping trust

!

Interface Ethernet1/26

ip dhcp snooping trust

!

 

2) Защита от колец.

 

Interface Ethernet1/1

loopback-detection specified-vlan "номер абонентского влана"

loopback-detection control shutdown

!

...............

 

!

Interface Ethernet1/24

loopback-detection specified-vlan "номер абонентского влана"

loopback-detection control shutdown

!

 

3) Настроить NTP

 

ntp enable

ntp server "ip адрес сервера ntp"

 

Каким образом правильно настроить логирование на этом коммутаторе?

 

logging "ip адрес лог сервера" level debugging

logging executed-commands enable

 

этого достаточно?

Изменено 28 января, 2014 пользователем Yutaro21

[megahertz0]

Вот шаблон под ipoe (opt82) для 2960, там все то же самое как и в 2950.

 

!
service password-encryption
!
hostname SNR.Pearl.Serv
sysLocation XXX
sysContact XXX
!
username recovery privilege 15 password 7 XXX
!
authentication line console login local tacacs
authentication line vty login local tacacs
accounting line console exec start-stop tacacs
accounting line vty exec start-stop tacacs
!
!
clock timezone +4 add 4 0
!
logging 10.201.0.5
!
ssh-server enable
!
tacacs-server authentication host 10.201.0.4 key 7 XXX
!
snmp-server enable
snmp-server community ro 7 XXX access snmp_hosts
!
ip dhcp snooping enable
ip dhcp snooping binding enable
!
ip dhcp snooping information enable
ip dhcp snooping information option subscriber-id format hex
!
!
lldp enable
!
spanning-tree
spanning-tree mode mstp
!
!
!
!
vlan 1
!
vlan 200
name Management
!
vlan 324
!
!
firewall enable
!
ip access-list standard snmp_hosts
 permit 10.201.0.0 0.0.0.255
 permit 10.0.100.0 0.0.0.255
 deny any-source
 exit
!
ip access-list extended default-drop
 deny tcp any-source s-port 135 any-destination
 deny tcp any-source s-port 139 any-destination
 deny tcp any-source s-port 445 any-destination
 deny udp any-source s-port 1900 any-destination
 permit tcp any-source any-destination
 permit udp any-source any-destination
 permit icmp any-source any-destination
 exit
!
Interface Ethernet1/1
lldp disable
spanning-tree portfast bpdufilter
switchport access vlan 324
ip access-group default-drop in
spanning-tree portfast bpdufilter
ip dhcp snooping binding user-control
ip dhcp snooping binding user-control max-user 1
!
Interface Ethernet1/25
lldp transmit optional tlv portDesc sysName sysDesc sysCap
switchport mode trunk
ip dhcp snooping trust
!
Interface Ethernet1/26
lldp transmit optional tlv portDesc sysName sysDesc sysCap
switchport mode trunk
ip dhcp snooping trust
!
Interface Ethernet1/27
lldp transmit optional tlv portDesc sysName sysDesc sysCap
switchport mode trunk
ip dhcp snooping trust
!
Interface Ethernet1/28
lldp transmit optional tlv portDesc sysName sysDesc sysCap
switchport mode trunk
ip dhcp snooping trust
!
no interface Vlan 1
!
interface Vlan200
ip address 10.200.2.165 255.255.0.0
!
ip default-gateway 10.200.0.1
!
ntp enable
ntp server 10.200.0.1
!
!
no login
!
!
end

[Yutaro21]

megahertz0, Как я понимаю это правило разрешает с абонентского порта трафик на access-list default-drop только для access-group?

 

ip access-list extended default-drop

deny tcp any-source s-port 135 any-destination

deny tcp any-source s-port 139 any-destination

deny tcp any-source s-port 445 any-destination

deny udp any-source s-port 1900 any-destination

permit tcp any-source any-destination

permit udp any-source any-destination

permit icmp any-source any-destination

exit

!

Interface Ethernet1/1

ip access-group default-drop in

Изменено 28 января, 2014 пользователем Yutaro21

[megahertz0]

megahertz0, Как я понимаю это правило разрешает с абонентского порта трафик на access-list default-drop только для access-group?

 

ip access-list extended default-drop

deny tcp any-source s-port 135 any-destination

deny tcp any-source s-port 139 any-destination

deny tcp any-source s-port 445 any-destination

deny udp any-source s-port 1900 any-destination

permit tcp any-source any-destination

permit udp any-source any-destination

permit icmp any-source any-destination

exit

!

Interface Ethernet1/1

ip access-group default-drop in

Нет, оно обрезает исходящий трафик от стандартных виндовых сервисов и пропускает все остальное. Можно поменять по вкусу.

[Yutaro21]

megahertz0, а как таким образом можно трафик блокировать с абонентского порта до подсети(к примеру Management)?

так правильно?

ip access-list extended default-drop

deny tcp any-source 10.201.0.0 0.0.0.255

permit tcp any-source any-destination

exit

Изменено 28 января, 2014 пользователем Yutaro21

[srg555]

правильная настройка это следствие дизайна. т.е. дизайн определяет то, что должно быть настроено

 

например использование dhcp snooping без opt82 сразу говорит о том что ваш дизайн говно(нет л2 изоляции кастомеров). или же это неправильная настройка(включена лишняя функция)

хотя и opt82 это крайне спорный дизайн, но всё же имеет право на существование, когда нет денег или знаний под терминирования влан пер юзер

 

отсутствие выделенного mgmt влан это вообще смертный грех

[megahertz0]

правильная настройка это следствие дизайна. т.е. дизайн определяет то, что должно быть настроено

 

например использование dhcp snooping без opt82 сразу говорит о том что ваш дизайн говно(нет л2 изоляции кастомеров). или же это неправильная настройка(включена лишняя функция)

хотя и opt82 это крайне спорный дизайн, но всё же имеет право на существование, когда нет денег или знаний под терминирования влан пер юзер

 

отсутствие выделенного mgmt влан это вообще смертный грех

 

Это вы мне?

[Yutaro21]

megahertz0, пожалуйста не обижайся, думаю специального умысла там не было!

srg555, в ваших словах есть доля горькой правды, в таком случае предложите свой пример или вариант ибо просто воздух словами сотрясать и мы можем!

Задача настроить коммутатор на доступе, защитить его на канальном уровне(в первую очередь от абонентов).

Изменено 30 января, 2014 пользователем Yutaro21

[srg555]

megahertz0

автору

 

Yutaro21

вам нужно думать не о конкретном коммутаторе, а о дизайне в целом

 

начнём с того что вы хотите - pppoe, голый ipoe, l2tp, различные вариации dual access?

 

на каком железе хотите терминировать абонентов?

 

можно сделать универсально - vlan-per-user, но тогда надо убедиться что вы сможете затерминировать кучу вланов

 

самый простой вариант и очень стабильный - vlan-per-switch pppoe. но это не модно

 

вообщем нет правильной настройки. есть настройка свитча под конкретный дизайн сети

[BasilKlyev]

vlan-per-switch pppoe

При такой задаче какой минимум настроек необходим (при условии что в сети существует dhcp)?

Сейчас так :

!
ssh-server enable
!
no ip http server
!
service dhcp
!
ip dhcp snooping enable
!
!
!
!
!
!
!
loopback-detection interval-time 10 1
!
loopback-detection control-recovery timeout 30
!
vlan 1;2;10
!
Interface Ethernet0/0/1
switchport access vlan 10
loopback-detection specified-vlan 10
loopback-detection control shutdown
!
!
Interface Ethernet0/0/26
switchport mode trunk
ip dhcp snooping trust
!
!
interface Vlan1
shutdown
!
interface Vlan2
ip address 192.168.1.5 255.255.255.0
!
ip default-gateway 192.168.1.254
!
!
exec-timeout 5 0
login
!

[srg555]

по dhcp локалка или просто чтоб венда не ругалась?

 

если влан-пер свитч, то вместо dhcp snooping лучше порт-изоляцию сделать. но тут возникает вопрос о том, контроллирует ли арп точка терминации(но и снупинг сам по себе с этим не борется)

 

и то что вы хотите это не чистый pppoe, а разновидность дуал аксесс

[BasilKlyev]

Чистый пппое, что бы винда не ругалась.

А портизоляцию какой коммандой ? Что то не видел в доках помоему.

[srg555]

Убирайте снупинг, делайте порт-изоляцию

 

http://data.nag.ru/SNR%20Switches/Configuration%20Guide/SNR-S2950-24G%20Configuration%20Guide%20v1.0.pdf Chapter 4

[megahertz0]

Убирайте снупинг, делайте порт-изоляцию

 

http://data.nag.ru/S...uide%20v1.0.pdf Chapter 4

А ведь снупинг не только блочит dhcp offer от клиента, но еще и ограничивает pps dhcp. DHCP Relay на l3-свитчах как правило работает программно, так что защититься от бомбардировки точки терминации по dhcp не мешало бы.

 

К стати, если используется pppoe, то можно включить pppoe intermediate agent. Тогда можно легко отследить, откуда прилатают pppoe-фреймы. Ну и запретить PADS-фреймы от абонов.

[BasilKlyev]

Ну китайцы блин в своем репертуаре ...

На циске на интерфейс прописал "switchport protected" и все.

А тут :

!
isolate-port group user switchport interface ethernet 1/24
isolate-port group user switchport interface ethernet 1/23
isolate-port group user switchport interface ethernet 1/22
isolate-port group user switchport interface ethernet 1/21
isolate-port group user switchport interface ethernet 1/20
isolate-port group user switchport interface ethernet 1/19
isolate-port group user switchport interface ethernet 1/18
isolate-port group user switchport interface ethernet 1/17
isolate-port group user switchport interface ethernet 1/16
isolate-port group user switchport interface ethernet 1/15
isolate-port group user switchport interface ethernet 1/14
isolate-port group user switchport interface ethernet 1/13
isolate-port group user switchport interface ethernet 1/12
isolate-port group user switchport interface ethernet 1/11
isolate-port group user switchport interface ethernet 1/10
isolate-port group user switchport interface ethernet 1/9
isolate-port group user switchport interface ethernet 1/8
isolate-port group user switchport interface ethernet 1/7
isolate-port group user switchport interface ethernet 1/6
isolate-port group user switchport interface ethernet 1/5
isolate-port group user switchport interface ethernet 1/4
isolate-port group user switchport interface ethernet 1/3
isolate-port group user switchport interface ethernet 1/2
isolate-port group user switchport interface ethernet 1/1
!

[srg555]

Убирайте снупинг, делайте порт-изоляцию

 

http://data.nag.ru/S...uide%20v1.0.pdf Chapter 4

А ведь снупинг не только блочит dhcp offer от клиента, но еще и ограничивает pps dhcp. DHCP Relay на l3-свитчах как правило работает программно, так что защититься от бомбардировки точки терминации по dhcp не мешало бы.

 

К стати, если используется pppoe, то можно включить pppoe intermediate agent. Тогда можно легко отследить, откуда прилатают pppoe-фреймы. Ну и запретить PADS-фреймы от абонов.

 

99.9% dhcp-атак это broadcast dhcp-дискавер и его лучше порезать broadcast контролем, чем снупингом.

[TerAnYu]

Здравствуйте!

Имеется SNR-S2985G-48T, в дефолтном конфиге.

Пытаюсь настроить NTP клиента, но коммутатор игнорирует параметры, и считает что сейчас Tue Jan 10 21:36:44 2006.

Как его вразумить?

Spoiler

Конфигурация:

SNR-S2985G-48T# show run
!
no service password-encryption
!
hostname SNR-S2985G-48T
sysLocation Building 57/2,Predelnaya st, Ekaterinburg, Russia
sysContact support@nag.ru
!
username admin privilege 15 password 0 admin
!
authentication line console login local
!
!
clock timezone +7 add 7 0
!
!
ssh-server enable
!
snmp-server enable
snmp-server securityip disable
snmp-server community rw 0 public
snmp-server community ro 0 snr_pub
snmp-server community rw 0 private
no rmon enable
!
!
!
!
!
!
!
!
vlan 1 
!
Interface Ethernet1/0/1
!
Interface Ethernet1/0/2
!
Interface Ethernet1/0/3
!
Interface Ethernet1/0/4
!
Interface Ethernet1/0/5
!
Interface Ethernet1/0/6
!
Interface Ethernet1/0/7
!
Interface Ethernet1/0/8
!
Interface Ethernet1/0/9
!
Interface Ethernet1/0/10
!
Interface Ethernet1/0/11
!
Interface Ethernet1/0/12
!
Interface Ethernet1/0/13
!
Interface Ethernet1/0/14
!
Interface Ethernet1/0/15
!
Interface Ethernet1/0/16
!
Interface Ethernet1/0/17
!
Interface Ethernet1/0/18
!
Interface Ethernet1/0/19
!
Interface Ethernet1/0/20
!
Interface Ethernet1/0/21
!
Interface Ethernet1/0/22
!
Interface Ethernet1/0/23
!
Interface Ethernet1/0/24
!
Interface Ethernet1/0/25
!
Interface Ethernet1/0/26
!
Interface Ethernet1/0/27
!
Interface Ethernet1/0/28
!
Interface Ethernet1/0/29
!
Interface Ethernet1/0/30
!
Interface Ethernet1/0/31
!
Interface Ethernet1/0/32
!
Interface Ethernet1/0/33
!
Interface Ethernet1/0/34
!
Interface Ethernet1/0/35
!
Interface Ethernet1/0/36
!
Interface Ethernet1/0/37
!
Interface Ethernet1/0/38
!
Interface Ethernet1/0/39
!
Interface Ethernet1/0/40
!
Interface Ethernet1/0/41
!
Interface Ethernet1/0/42
!
Interface Ethernet1/0/43
!
Interface Ethernet1/0/44
!
Interface Ethernet1/0/45
!
Interface Ethernet1/0/46
!
Interface Ethernet1/0/47
!
Interface Ethernet1/0/48
!
Interface Ethernet1/0/49
!
Interface Ethernet1/0/50
!
Interface Ethernet1/0/51
!
Interface Ethernet1/0/52
!
interface Vlan1
 ip dhcp-client enable
!
ntp enable
ntp server host 10.1.48.1
ntp server host 10.1.48.4
ntp server host 172.16.2.15
!
!
no login
!
captive-portal
!
end

О железке:

 SNR-S2985G-48T Device, Compiled on Aug 17 17:35:17 2015
  sysLocation Building 57/2,Predelnaya st, Ekaterinburg, Russia
  CPU Mac f8:f0:82:00:00:3f
  Vlan MAC f8:f0:82:00:00:3e
  SoftWare Version 7.0.3.5(R0241.0055)
  BootRom Version 7.2.22
  HardWare Version 1.0.1
  CPLD Version N/A
  Serial No.:SW052510H41-------
  Copyright (C) 2011-2015 NAG LLC
  All rights reserved
  Last reboot is cold reset.
  Uptime is 1 weeks, 2 days, 14 hours, 38 minutes

 

Изменено 29 апреля, 2021 пользователем TerAnYu

[Evgeny Mirhasanov]

@TerAnYu Добрый день. Обновите версию ПО, скорее всего это решит проблему.

 

Архив с ПО

Обновление и восстановление ПО на коммутаторах SNR

[TerAnYu]

@Evgeny Mirhasanov , спасибо, по результату отпишусь, к сожалению только 12/05/2021.

[TerAnYu]

Эх, заняло намного больше времени :)

К сожалению с последней доступной прошивкой SNTP клиент всё равно нерабочий.

[Evgeny Mirhasanov]

@TerAnYu Добрый день. А пинг с коммутатора до серверов

ntp server host 10.1.48.1
ntp server host 10.1.48.4
ntp server host 172.16.2.15

 

проходит? И вы ранее писали про NTP, а теперь уже SNTP.

Какой вывод у команды ' show ntp status '?

[Evgeny Mirhasanov]

Коллеги, ошибка найдена. Вместо:
 

ntp server host 10.1.48.1
ntp server host 10.1.48.4
ntp server host 172.16.2.15

нужно использовать:
 

ntp server 10.1.48.1
ntp server 10.1.48.4
ntp server 172.16.2.15

т.е. слово 'host'  в команде лишнее.

[TerAnYu]

On 5/26/2021 at 6:06 PM, Evgeny Mirhasanov said:

проходит? И вы ранее писали про NTP, а теперь уже SNTP.

перепутал, обычно это одно и тоже, ну или, по крайней мере, всё равно работает ....

@Evgeny Mirhasanov , да, спасибо, всё заработало!

Изменено 1 июня, 2021 пользователем TerAnYu