Yutaro21 Опубликовано 28 января, 2014 (изменено) · Жалоба Хочется настроить как можно грамотнее для работы и защиты коммутатор snr 2950(обеспечивают абонентский доступ на домах), но к несчастью багаж знаний не настолько велик. Что можете посоветовать? На что обратить внимание? Методом гугла и чтения мануалов определил в частности: 1)защита от вещания DHCP с абонентских портов ip dhcp snooping enable ! Interface Ethernet1/25 ip dhcp snooping trust ! Interface Ethernet1/26 ip dhcp snooping trust ! 2) Защита от колец. Interface Ethernet1/1 loopback-detection specified-vlan "номер абонентского влана" loopback-detection control shutdown ! ............... ! Interface Ethernet1/24 loopback-detection specified-vlan "номер абонентского влана" loopback-detection control shutdown ! 3) Настроить NTP ntp enable ntp server "ip адрес сервера ntp" Каким образом правильно настроить логирование на этом коммутаторе? logging "ip адрес лог сервера" level debugging logging executed-commands enable этого достаточно? Изменено 28 января, 2014 пользователем Yutaro21 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
megahertz0 Опубликовано 28 января, 2014 · Жалоба Вот шаблон под ipoe (opt82) для 2960, там все то же самое как и в 2950. ! service password-encryption ! hostname SNR.Pearl.Serv sysLocation XXX sysContact XXX ! username recovery privilege 15 password 7 XXX ! authentication line console login local tacacs authentication line vty login local tacacs accounting line console exec start-stop tacacs accounting line vty exec start-stop tacacs ! ! clock timezone +4 add 4 0 ! logging 10.201.0.5 ! ssh-server enable ! tacacs-server authentication host 10.201.0.4 key 7 XXX ! snmp-server enable snmp-server community ro 7 XXX access snmp_hosts ! ip dhcp snooping enable ip dhcp snooping binding enable ! ip dhcp snooping information enable ip dhcp snooping information option subscriber-id format hex ! ! lldp enable ! spanning-tree spanning-tree mode mstp ! ! ! ! vlan 1 ! vlan 200 name Management ! vlan 324 ! ! firewall enable ! ip access-list standard snmp_hosts permit 10.201.0.0 0.0.0.255 permit 10.0.100.0 0.0.0.255 deny any-source exit ! ip access-list extended default-drop deny tcp any-source s-port 135 any-destination deny tcp any-source s-port 139 any-destination deny tcp any-source s-port 445 any-destination deny udp any-source s-port 1900 any-destination permit tcp any-source any-destination permit udp any-source any-destination permit icmp any-source any-destination exit ! Interface Ethernet1/1 lldp disable spanning-tree portfast bpdufilter switchport access vlan 324 ip access-group default-drop in spanning-tree portfast bpdufilter ip dhcp snooping binding user-control ip dhcp snooping binding user-control max-user 1 ! Interface Ethernet1/25 lldp transmit optional tlv portDesc sysName sysDesc sysCap switchport mode trunk ip dhcp snooping trust ! Interface Ethernet1/26 lldp transmit optional tlv portDesc sysName sysDesc sysCap switchport mode trunk ip dhcp snooping trust ! Interface Ethernet1/27 lldp transmit optional tlv portDesc sysName sysDesc sysCap switchport mode trunk ip dhcp snooping trust ! Interface Ethernet1/28 lldp transmit optional tlv portDesc sysName sysDesc sysCap switchport mode trunk ip dhcp snooping trust ! no interface Vlan 1 ! interface Vlan200 ip address 10.200.2.165 255.255.0.0 ! ip default-gateway 10.200.0.1 ! ntp enable ntp server 10.200.0.1 ! ! no login ! ! end Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Yutaro21 Опубликовано 28 января, 2014 (изменено) · Жалоба megahertz0, Как я понимаю это правило разрешает с абонентского порта трафик на access-list default-drop только для access-group? ip access-list extended default-drop deny tcp any-source s-port 135 any-destination deny tcp any-source s-port 139 any-destination deny tcp any-source s-port 445 any-destination deny udp any-source s-port 1900 any-destination permit tcp any-source any-destination permit udp any-source any-destination permit icmp any-source any-destination exit ! Interface Ethernet1/1 ip access-group default-drop in Изменено 28 января, 2014 пользователем Yutaro21 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
megahertz0 Опубликовано 28 января, 2014 · Жалоба megahertz0, Как я понимаю это правило разрешает с абонентского порта трафик на access-list default-drop только для access-group? ip access-list extended default-drop deny tcp any-source s-port 135 any-destination deny tcp any-source s-port 139 any-destination deny tcp any-source s-port 445 any-destination deny udp any-source s-port 1900 any-destination permit tcp any-source any-destination permit udp any-source any-destination permit icmp any-source any-destination exit ! Interface Ethernet1/1 ip access-group default-drop in Нет, оно обрезает исходящий трафик от стандартных виндовых сервисов и пропускает все остальное. Можно поменять по вкусу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Yutaro21 Опубликовано 28 января, 2014 (изменено) · Жалоба megahertz0, а как таким образом можно трафик блокировать с абонентского порта до подсети(к примеру Management)? так правильно? ip access-list extended default-drop deny tcp any-source 10.201.0.0 0.0.0.255 permit tcp any-source any-destination exit Изменено 28 января, 2014 пользователем Yutaro21 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
srg555 Опубликовано 28 января, 2014 · Жалоба правильная настройка это следствие дизайна. т.е. дизайн определяет то, что должно быть настроено например использование dhcp snooping без opt82 сразу говорит о том что ваш дизайн говно(нет л2 изоляции кастомеров). или же это неправильная настройка(включена лишняя функция) хотя и opt82 это крайне спорный дизайн, но всё же имеет право на существование, когда нет денег или знаний под терминирования влан пер юзер отсутствие выделенного mgmt влан это вообще смертный грех Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
megahertz0 Опубликовано 29 января, 2014 · Жалоба правильная настройка это следствие дизайна. т.е. дизайн определяет то, что должно быть настроено например использование dhcp snooping без opt82 сразу говорит о том что ваш дизайн говно(нет л2 изоляции кастомеров). или же это неправильная настройка(включена лишняя функция) хотя и opt82 это крайне спорный дизайн, но всё же имеет право на существование, когда нет денег или знаний под терминирования влан пер юзер отсутствие выделенного mgmt влан это вообще смертный грех Это вы мне? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Yutaro21 Опубликовано 30 января, 2014 (изменено) · Жалоба megahertz0, пожалуйста не обижайся, думаю специального умысла там не было! srg555, в ваших словах есть доля горькой правды, в таком случае предложите свой пример или вариант ибо просто воздух словами сотрясать и мы можем! Задача настроить коммутатор на доступе, защитить его на канальном уровне(в первую очередь от абонентов). Изменено 30 января, 2014 пользователем Yutaro21 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
srg555 Опубликовано 30 января, 2014 · Жалоба megahertz0 автору Yutaro21 вам нужно думать не о конкретном коммутаторе, а о дизайне в целом начнём с того что вы хотите - pppoe, голый ipoe, l2tp, различные вариации dual access? на каком железе хотите терминировать абонентов? можно сделать универсально - vlan-per-user, но тогда надо убедиться что вы сможете затерминировать кучу вланов самый простой вариант и очень стабильный - vlan-per-switch pppoe. но это не модно вообщем нет правильной настройки. есть настройка свитча под конкретный дизайн сети Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BasilKlyev Опубликовано 31 января, 2014 · Жалоба vlan-per-switch pppoe При такой задаче какой минимум настроек необходим (при условии что в сети существует dhcp)? Сейчас так : ! ssh-server enable ! no ip http server ! service dhcp ! ip dhcp snooping enable ! ! ! ! ! ! ! loopback-detection interval-time 10 1 ! loopback-detection control-recovery timeout 30 ! vlan 1;2;10 ! Interface Ethernet0/0/1 switchport access vlan 10 loopback-detection specified-vlan 10 loopback-detection control shutdown ! ! Interface Ethernet0/0/26 switchport mode trunk ip dhcp snooping trust ! ! interface Vlan1 shutdown ! interface Vlan2 ip address 192.168.1.5 255.255.255.0 ! ip default-gateway 192.168.1.254 ! ! exec-timeout 5 0 login ! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
srg555 Опубликовано 31 января, 2014 · Жалоба по dhcp локалка или просто чтоб венда не ругалась? если влан-пер свитч, то вместо dhcp snooping лучше порт-изоляцию сделать. но тут возникает вопрос о том, контроллирует ли арп точка терминации(но и снупинг сам по себе с этим не борется) и то что вы хотите это не чистый pppoe, а разновидность дуал аксесс Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BasilKlyev Опубликовано 31 января, 2014 · Жалоба Чистый пппое, что бы винда не ругалась. А портизоляцию какой коммандой ? Что то не видел в доках помоему. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
srg555 Опубликовано 31 января, 2014 · Жалоба Убирайте снупинг, делайте порт-изоляцию http://data.nag.ru/SNR%20Switches/Configuration%20Guide/SNR-S2950-24G%20Configuration%20Guide%20v1.0.pdf Chapter 4 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
megahertz0 Опубликовано 31 января, 2014 · Жалоба Убирайте снупинг, делайте порт-изоляцию http://data.nag.ru/S...uide%20v1.0.pdf Chapter 4 А ведь снупинг не только блочит dhcp offer от клиента, но еще и ограничивает pps dhcp. DHCP Relay на l3-свитчах как правило работает программно, так что защититься от бомбардировки точки терминации по dhcp не мешало бы. К стати, если используется pppoe, то можно включить pppoe intermediate agent. Тогда можно легко отследить, откуда прилатают pppoe-фреймы. Ну и запретить PADS-фреймы от абонов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BasilKlyev Опубликовано 1 февраля, 2014 · Жалоба Ну китайцы блин в своем репертуаре ... На циске на интерфейс прописал "switchport protected" и все. А тут : ! isolate-port group user switchport interface ethernet 1/24 isolate-port group user switchport interface ethernet 1/23 isolate-port group user switchport interface ethernet 1/22 isolate-port group user switchport interface ethernet 1/21 isolate-port group user switchport interface ethernet 1/20 isolate-port group user switchport interface ethernet 1/19 isolate-port group user switchport interface ethernet 1/18 isolate-port group user switchport interface ethernet 1/17 isolate-port group user switchport interface ethernet 1/16 isolate-port group user switchport interface ethernet 1/15 isolate-port group user switchport interface ethernet 1/14 isolate-port group user switchport interface ethernet 1/13 isolate-port group user switchport interface ethernet 1/12 isolate-port group user switchport interface ethernet 1/11 isolate-port group user switchport interface ethernet 1/10 isolate-port group user switchport interface ethernet 1/9 isolate-port group user switchport interface ethernet 1/8 isolate-port group user switchport interface ethernet 1/7 isolate-port group user switchport interface ethernet 1/6 isolate-port group user switchport interface ethernet 1/5 isolate-port group user switchport interface ethernet 1/4 isolate-port group user switchport interface ethernet 1/3 isolate-port group user switchport interface ethernet 1/2 isolate-port group user switchport interface ethernet 1/1 ! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
srg555 Опубликовано 1 февраля, 2014 · Жалоба Убирайте снупинг, делайте порт-изоляцию http://data.nag.ru/S...uide%20v1.0.pdf Chapter 4 А ведь снупинг не только блочит dhcp offer от клиента, но еще и ограничивает pps dhcp. DHCP Relay на l3-свитчах как правило работает программно, так что защититься от бомбардировки точки терминации по dhcp не мешало бы. К стати, если используется pppoe, то можно включить pppoe intermediate agent. Тогда можно легко отследить, откуда прилатают pppoe-фреймы. Ну и запретить PADS-фреймы от абонов. 99.9% dhcp-атак это broadcast dhcp-дискавер и его лучше порезать broadcast контролем, чем снупингом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TerAnYu Опубликовано 29 апреля, 2021 (изменено) · Жалоба Здравствуйте! Имеется SNR-S2985G-48T, в дефолтном конфиге. Пытаюсь настроить NTP клиента, но коммутатор игнорирует параметры, и считает что сейчас Tue Jan 10 21:36:44 2006. Как его вразумить? Spoiler Конфигурация: SNR-S2985G-48T# show run ! no service password-encryption ! hostname SNR-S2985G-48T sysLocation Building 57/2,Predelnaya st, Ekaterinburg, Russia sysContact support@nag.ru ! username admin privilege 15 password 0 admin ! authentication line console login local ! ! clock timezone +7 add 7 0 ! ! ssh-server enable ! snmp-server enable snmp-server securityip disable snmp-server community rw 0 public snmp-server community ro 0 snr_pub snmp-server community rw 0 private no rmon enable ! ! ! ! ! ! ! ! vlan 1 ! Interface Ethernet1/0/1 ! Interface Ethernet1/0/2 ! Interface Ethernet1/0/3 ! Interface Ethernet1/0/4 ! Interface Ethernet1/0/5 ! Interface Ethernet1/0/6 ! Interface Ethernet1/0/7 ! Interface Ethernet1/0/8 ! Interface Ethernet1/0/9 ! Interface Ethernet1/0/10 ! Interface Ethernet1/0/11 ! Interface Ethernet1/0/12 ! Interface Ethernet1/0/13 ! Interface Ethernet1/0/14 ! Interface Ethernet1/0/15 ! Interface Ethernet1/0/16 ! Interface Ethernet1/0/17 ! Interface Ethernet1/0/18 ! Interface Ethernet1/0/19 ! Interface Ethernet1/0/20 ! Interface Ethernet1/0/21 ! Interface Ethernet1/0/22 ! Interface Ethernet1/0/23 ! Interface Ethernet1/0/24 ! Interface Ethernet1/0/25 ! Interface Ethernet1/0/26 ! Interface Ethernet1/0/27 ! Interface Ethernet1/0/28 ! Interface Ethernet1/0/29 ! Interface Ethernet1/0/30 ! Interface Ethernet1/0/31 ! Interface Ethernet1/0/32 ! Interface Ethernet1/0/33 ! Interface Ethernet1/0/34 ! Interface Ethernet1/0/35 ! Interface Ethernet1/0/36 ! Interface Ethernet1/0/37 ! Interface Ethernet1/0/38 ! Interface Ethernet1/0/39 ! Interface Ethernet1/0/40 ! Interface Ethernet1/0/41 ! Interface Ethernet1/0/42 ! Interface Ethernet1/0/43 ! Interface Ethernet1/0/44 ! Interface Ethernet1/0/45 ! Interface Ethernet1/0/46 ! Interface Ethernet1/0/47 ! Interface Ethernet1/0/48 ! Interface Ethernet1/0/49 ! Interface Ethernet1/0/50 ! Interface Ethernet1/0/51 ! Interface Ethernet1/0/52 ! interface Vlan1 ip dhcp-client enable ! ntp enable ntp server host 10.1.48.1 ntp server host 10.1.48.4 ntp server host 172.16.2.15 ! ! no login ! captive-portal ! end О железке: SNR-S2985G-48T Device, Compiled on Aug 17 17:35:17 2015 sysLocation Building 57/2,Predelnaya st, Ekaterinburg, Russia CPU Mac f8:f0:82:00:00:3f Vlan MAC f8:f0:82:00:00:3e SoftWare Version 7.0.3.5(R0241.0055) BootRom Version 7.2.22 HardWare Version 1.0.1 CPLD Version N/A Serial No.:SW052510H41------- Copyright (C) 2011-2015 NAG LLC All rights reserved Last reboot is cold reset. Uptime is 1 weeks, 2 days, 14 hours, 38 minutes Изменено 29 апреля, 2021 пользователем TerAnYu Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Evgeny Mirhasanov Опубликовано 29 апреля, 2021 · Жалоба @TerAnYu Добрый день. Обновите версию ПО, скорее всего это решит проблему. Архив с ПО Обновление и восстановление ПО на коммутаторах SNR Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TerAnYu Опубликовано 29 апреля, 2021 · Жалоба @Evgeny Mirhasanov , спасибо, по результату отпишусь, к сожалению только 12/05/2021. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TerAnYu Опубликовано 26 мая, 2021 · Жалоба Эх, заняло намного больше времени :) К сожалению с последней доступной прошивкой SNTP клиент всё равно нерабочий. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Evgeny Mirhasanov Опубликовано 26 мая, 2021 · Жалоба @TerAnYu Добрый день. А пинг с коммутатора до серверов ntp server host 10.1.48.1 ntp server host 10.1.48.4 ntp server host 172.16.2.15 проходит? И вы ранее писали про NTP, а теперь уже SNTP. Какой вывод у команды ' show ntp status '? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Evgeny Mirhasanov Опубликовано 26 мая, 2021 · Жалоба Коллеги, ошибка найдена. Вместо: ntp server host 10.1.48.1 ntp server host 10.1.48.4 ntp server host 172.16.2.15 нужно использовать: ntp server 10.1.48.1 ntp server 10.1.48.4 ntp server 172.16.2.15 т.е. слово 'host' в команде лишнее. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TerAnYu Опубликовано 1 июня, 2021 (изменено) · Жалоба On 5/26/2021 at 6:06 PM, Evgeny Mirhasanov said: проходит? И вы ранее писали про NTP, а теперь уже SNTP. перепутал, обычно это одно и тоже, ну или, по крайней мере, всё равно работает ....@Evgeny Mirhasanov , да, спасибо, всё заработало! Изменено 1 июня, 2021 пользователем TerAnYu Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...