Jump to content

VLAN на дом - это плохо...

man781
 Share

Recommended Posts

man781

man781

Posted
Posted

Доброго времени суток, наг-сообщество.

Есть юзеры в одном влане

Есть арп инспекшн и дхцп снупинг на юзерских портах

 

Внимание - какой такой протокол/служба/трафик некоторых обычных юзеров с вендой (без роутера)

может вызывать у некоторых соседей по влану с роутерами следующую ситуацию:

с wan фейса роутеров на свич провайдера начинают идти пакеты с src адресом 192.168.1.1

(именно этот одинаковый адрес и именно одновременно несколько соседей и именно после включения ноута плохого юзера)

и соответственно хорошие юзеры попадают в бан

(банит арп инспекшн свича доступа что логично ибо юзер получил с дхцп сервера провайдера совсем другой адрес)

Как только потушить порт плохого юзера - все становится ок

Понятно - что нужно сегментировать юзеров - хотя бы порт изолейшн + влан на свич (хотя тогда не будет связности в пределах свича - локал прокси арп нету на терминирующем вланы свиче)

а еще лучше влан на юзера - но вот просто интересно (ipv6 ipx netbios ssdp заблочил на свиче - не помогло)

(пока нет возможности и времени получить дамп трафика со свича - но ребята смотрели ноут плохого юзера и ничего подозрительного не нашли

 

Есть версии ?

andryas

andryas

Posted
Posted

Есть версии ?

 

port-security, ограничить до 2-3 маков на порт, вклчить фильтрацию штормов, урезать левый трафик.

 

Роутер - это фактически тупой свич с виланами, со всеми истекающими последствиями. Когда он превращается в хаб - наружу вылазит его внутренний 192.168.x.x

man781

man781

Posted
  • Author
Posted
Роутер - это фактически тупой свич с виланами, со всеми истекающими последствиями. Когда он превращается в хаб

С чего бы это у трех человек одновременно роутер превращается в хаб из-за 4-го соседа - при включенном арп инспекш на портах (нету там проблемы арп шторма или большого к-ва маков, и сам виновник работает прекрасно

с одним маком и ип).

Согласен - что без дампа - это гадание.

Но пока не получается организовать...

 

урезать левый трафик.

С большего подрезан.

Но, вообще - это гемор - отслеживать все более новый левый трафик и потом менять ACL на тысячах свичей, хоть и полуавтоматически.

ollsanek

ollsanek

Posted
Posted

С чего бы это у трех человек одновременно роутер превращается в хаб из-за 4-го соседа - при включенном арп инспекш на портах (нету там проблемы арп шторма или большого к-ва маков, и сам виновник работает прекрасно

уверены, что имеет место 100% корелляция с 4м абонентом?

у нас такая кака регулярно лезет, и, вроде как, в сегментах с изолироваными хомячками тоже.

почти всё тплинки, но их в принципе большинство ...

якобы это какой-то баг в прошивках ...

вобщем пару лет назат надоело с этим бороться, принимаем как данность, что такое бывает.

если кто-то расскажет что-то дельное порадуюсь вместе с топикстартером.

ichthyandr

ichthyandr

Posted
Posted

Доброго времени суток, наг-сообщество.

Есть юзеры в одном влане

Есть арп инспекшн и дхцп снупинг на юзерских портах

 

Внимание - какой такой протокол/служба/трафик некоторых обычных юзеров с вендой (без роутера)

может вызывать у некоторых соседей по влану с роутерами следующую ситуацию:

с wan фейса роутеров на свич провайдера начинают идти пакеты с src адресом 192.168.1.1

(именно этот одинаковый адрес и именно одновременно несколько соседей и именно после включения ноута плохого юзера)

и соответственно хорошие юзеры попадают в бан

(банит арп инспекшн свича доступа что логично ибо юзер получил с дхцп сервера провайдера совсем другой адрес)

Как только потушить порт плохого юзера - все становится ок

Понятно - что нужно сегментировать юзеров - хотя бы порт изолейшн + влан на свич (хотя тогда не будет связности в пределах свича - локал прокси арп нету на терминирующем вланы свиче)

а еще лучше влан на юзера - но вот просто интересно (ipv6 ipx netbios ssdp заблочил на свиче - не помогло)

(пока нет возможности и времени получить дамп трафика со свича - но ребята смотрели ноут плохого юзера и ничего подозрительного не нашли

 

Есть версии ?

это проблема в прошивках роутеров - за большинством замечено, сопливят пакеты с локального интерфейса на wan порты, бороться только или изоляцией абон портов ( например в длинке traffic segmentation) или acl-ми как подсказывают

man781

man781

Posted
  • Author
Posted

Порежьте ACL-ами 192.168.0.0/16 и забудьте.

Зарезал IP траф с src и dst 192.168.1.1 - не помогло. (Всю сетку 192.168.0.0/16 не могу - там есть в этом диапазоне вполне легальный трафик,

но это уже роутинг, а проблема в L2 - и конкретно с 192.168.1.1)

Возможно нужно ARP зарезать с этим адресом - но свич так не умеет. (вернее это должен делать ARP inspection - но какой-то неадекват с этим ипом)

Короче, сниму дамп трафика и напишу вендору свича (внезапно и вендор роутеров тот же :)

(пока не буду писать, что за вендор)

 

это проблема в прошивках роутеров - за большинством замечено, сопливят пакеты с локального интерфейса на wan порты,

Ок. Пока все еще нет дампа - давайте еще чуть чуть потеоретизируем:

КАК заставить "сопливить" трех соседей в один момент времени? (при этом остальных 10 соседей не затронуть).

Интересует механизм. Я бы не смог это сэмулировать на стенде - даже если бы мне заплатили.

Напомню, "виновник": обычный обыватель с ноутом. Вероятность целеноправленного злого умысла со стороны этого абонента крайне низка.

 

 

Есть версии? (рано или поздно найдем причину на практике и сравним с теоретическими предположениями, победителю надо учредить приз :)

man781

man781

Posted
  • Author
Posted

С чего бы это у трех человек одновременно роутер превращается в хаб из-за 4-го соседа - при включенном арп инспекш на портах (нету там проблемы арп шторма или большого к-ва маков, и сам виновник работает прекрасно

уверены, что имеет место 100% корелляция с 4м абонентом?

у нас такая кака регулярно лезет, и, вроде как, в сегментах с изолироваными хомячками тоже.

почти всё тплинки, но их в принципе большинство ...

якобы это какой-то баг в прошивках ...

вобщем пару лет назат надоело с этим бороться, принимаем как данность, что такое бывает.

если кто-то расскажет что-то дельное порадуюсь вместе с топикстартером.

 

Уверен на 100% - эксперимент с тушением порта "виновника" проводился много раз.

Собственно - так и нашли источник (но не причину).

Я все надеюсь - что баг найдется, вендор подпилит прошиву свича, и арп инспекшн будет делать нормально свою работу - т.е. не допустит ситуации, когда один абонент лекго может нарушить

работу других абонентов (причем даже не зная об этом). И при этом сам работает как ни в чем не бывало.

ichthyandr

ichthyandr

Posted
Posted

Порежьте ACL-ами 192.168.0.0/16 и забудьте.

Зарезал IP траф с src и dst 192.168.1.1 - не помогло. (Всю сетку 192.168.0.0/16 не могу - там есть в этом диапазоне вполне легальный трафик,

но это уже роутинг, а проблема в L2 - и конкретно с 192.168.1.1)

Возможно нужно ARP зарезать с этим адресом - но свич так не умеет. (вернее это должен делать ARP inspection - но какой-то неадекват с этим ипом)

Короче, сниму дамп трафика и напишу вендору свича (внезапно и вендор роутеров тот же :)

(пока не буду писать, что за вендор)

 

это проблема в прошивках роутеров - за большинством замечено, сопливят пакеты с локального интерфейса на wan порты,

Ок. Пока все еще нет дампа - давайте еще чуть чуть потеоретизируем:

КАК заставить "сопливить" трех соседей в один момент времени? (при этом остальных 10 соседей не затронуть).

Интересует механизм. Я бы не смог это сэмулировать на стенде - даже если бы мне заплатили.

Напомню, "виновник": обычный обыватель с ноутом. Вероятность целеноправленного злого умысла со стороны этого абонента крайне низка.

 

 

Есть версии? (рано или поздно найдем причину на практике и сравним с теоретическими предположениями, победителю надо учредить приз :)

изоляция портов только спасет

s.lobanov

s.lobanov

Posted
Posted

по опыту могу сказать, что очень часто изоляция портов пропускает всякий шлак типа igmp, v6-multicast, eapol и т.п. на разных свитчах по разному, но в целом какой-то мусор можете летать между кастомерами на изолированных портах в одном влане

man781

man781

Posted
  • Author
Posted

коммутаторы Zyxel 3528

юзеров менее 20 в одном влане.

Вендор клялся, что у них нету проблемы с коллизиями хеш.

Сегодня воткнул ноут в свич и оставил писать дамп трафика (зеркало трафа с порта виновника и жертвы)

Завтра ноут заберу, будем смореть дальше...

man781

man781

Posted
  • Author
Posted

В таблице свича маков менее 30 штук в момент проблемы

С данными свичами работаем много лет

Тысячи их

Ранее такой проблемы не было замечено

Откуда тут коллизии...

Тем более роутеры меняли юзерам - а ситуация абсолютно идентично проявляется

Да и вообще поведение другое - что-то заставляет роутеры плевать 192.168.1.1 c wan порта

В любом случае - завтра будет дамп трафика

Сам посмотрю если зацепок не увижу - отправлю вендору (как я понял - они взяли паузу для создания ситуации в лабе)

(Кстати сегодня снова все четко по расписанию

включаю порт виновника

тут же в бан 2 соседа - оба 192.168.1.1)

Изоляция юзерских портов помогает на 100% - что логично

Но хочется понять механизм проблемы - ибо совсем не хочется тысячи свичей перенастраивать

и это тянет по цепочке много чего еще переделывать

sheft

sheft

Posted
Posted

тут же в бан 2 соседа - оба 192.168.1.1)

IGMP включен на роутере проблемного клиента?, на роутере он может включаться в двух местах -настройки wan-интерфейса и в настройках IPTV. И какое количество соединений в инет у клиента в момент проскока 192.168.1.1 за пределы wan'а роутера?

Давно уже подобное встречаю у себя, но мне этот глюк не мешает.

mcdemon

mcdemon

Posted
Posted

я вот вчитываюсь в первое сообщение и понять немогу почему "хорошие" юзеры попадают в бан?

у вас же баниться должен только определенный порт

man781

man781

Posted
  • Author
Posted

я вот вчитываюсь в первое сообщение и понять немогу почему "хорошие" юзеры попадают в бан?

у вас же баниться должен только определенный порт

Так никто не может это понять ))

В этом и суть главного вопроса топика - понять механизм этого безобразия.

man781

man781

Posted
  • Author
Posted
IGMP включен на роутере проблемного клиента?, на роутере он может включаться в двух местах -настройки wan-интерфейса и в настройках IPTV. И какое количество соединений в инет у клиента в момент проскока 192.168.1.1 за пределы wan'а роутера?

Давно уже подобное встречаю у себя, но мне этот глюк не мешает.

Проблемный клиент - это вы имеете ввиду - пострадавший или "виновник"?

У виновника нет роутера.

У пострадавших роутер настроен втроенным визардом все по дефолту, как у тысячи других юзеров.

Мульткаст IPTV работает. Под IGMP - вы имеете ввиду IGMP Proxy?

Настройки IGMP проверю. И к-во соединений тоже.

 

 

Перенастроить тысячи можно expect-ом, что логично.

Некоторые роутеры отвечают в wan на arping - попробуйте, может быть оно.

arping -i eth0 192.168.1.1 - конечно попробую.

Может оно и есть - ведь никто не мешает сделать произвольный арп запрос.

Арп инспекшн как раз анализирует только ответ на корректность.

Роутер по идее не должен был бы ответить на ван фейсе на этот запрос - но отвечает - и тут его как раз и банит арп инспекшн.

 

 

P.S. expect активно юзаю. Без него был бы ад.

sheft

sheft

Posted
Posted

я вот вчитываюсь в первое сообщение и понять немогу почему "хорошие" юзеры попадают в бан?

"нехороший" начинает рассылать нечто, от чего "хорошие" роутеры начинаю слать внутренний IP во внешку через WAN и ловят бан от arp-inspection

У виновника нет роутера.

интересно, IP6 включен в сетёвке? какие ещё на сетевке у "нехорошего" абона активные компоненты?

Дегтярев Илья

Дегтярев Илья

Posted
Posted

Свитчи меняйте на нормальные.

 

Arp inspection не должен как-либо банить порт. Он должен банить нелегетимные arp пакеты.

 

Одих хост спрашивает who has 192.168.1.1. Многие роутеры отвечают на такой arp запрос с аплинка.

Ничего криминального в этом нет, свитч должен не пропускать этот ответ.

Но на нормальной работе пользователей это сказываться не должно.

 

У самих используется vlan на район, свитчи eltex.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.