Jump to content
Калькуляторы

VLAN на дом - это плохо... ...вернее изоляция на L2 - это необходимсть. Ваш Капитан Очевидность )

Доброго времени суток, наг-сообщество.

Есть юзеры в одном влане

Есть арп инспекшн и дхцп снупинг на юзерских портах

 

Внимание - какой такой протокол/служба/трафик некоторых обычных юзеров с вендой (без роутера)

может вызывать у некоторых соседей по влану с роутерами следующую ситуацию:

с wan фейса роутеров на свич провайдера начинают идти пакеты с src адресом 192.168.1.1

(именно этот одинаковый адрес и именно одновременно несколько соседей и именно после включения ноута плохого юзера)

и соответственно хорошие юзеры попадают в бан

(банит арп инспекшн свича доступа что логично ибо юзер получил с дхцп сервера провайдера совсем другой адрес)

Как только потушить порт плохого юзера - все становится ок

Понятно - что нужно сегментировать юзеров - хотя бы порт изолейшн + влан на свич (хотя тогда не будет связности в пределах свича - локал прокси арп нету на терминирующем вланы свиче)

а еще лучше влан на юзера - но вот просто интересно (ipv6 ipx netbios ssdp заблочил на свиче - не помогло)

(пока нет возможности и времени получить дамп трафика со свича - но ребята смотрели ноут плохого юзера и ничего подозрительного не нашли

 

Есть версии ?

Share this post


Link to post
Share on other sites

Есть версии ?

 

port-security, ограничить до 2-3 маков на порт, вклчить фильтрацию штормов, урезать левый трафик.

 

Роутер - это фактически тупой свич с виланами, со всеми истекающими последствиями. Когда он превращается в хаб - наружу вылазит его внутренний 192.168.x.x

Share this post


Link to post
Share on other sites

Роутер - это фактически тупой свич с виланами, со всеми истекающими последствиями. Когда он превращается в хаб

С чего бы это у трех человек одновременно роутер превращается в хаб из-за 4-го соседа - при включенном арп инспекш на портах (нету там проблемы арп шторма или большого к-ва маков, и сам виновник работает прекрасно

с одним маком и ип).

Согласен - что без дампа - это гадание.

Но пока не получается организовать...

 

урезать левый трафик.

С большего подрезан.

Но, вообще - это гемор - отслеживать все более новый левый трафик и потом менять ACL на тысячах свичей, хоть и полуавтоматически.

Share this post


Link to post
Share on other sites

С чего бы это у трех человек одновременно роутер превращается в хаб из-за 4-го соседа - при включенном арп инспекш на портах (нету там проблемы арп шторма или большого к-ва маков, и сам виновник работает прекрасно

уверены, что имеет место 100% корелляция с 4м абонентом?

у нас такая кака регулярно лезет, и, вроде как, в сегментах с изолироваными хомячками тоже.

почти всё тплинки, но их в принципе большинство ...

якобы это какой-то баг в прошивках ...

вобщем пару лет назат надоело с этим бороться, принимаем как данность, что такое бывает.

если кто-то расскажет что-то дельное порадуюсь вместе с топикстартером.

Share this post


Link to post
Share on other sites

Доброго времени суток, наг-сообщество.

Есть юзеры в одном влане

Есть арп инспекшн и дхцп снупинг на юзерских портах

 

Внимание - какой такой протокол/служба/трафик некоторых обычных юзеров с вендой (без роутера)

может вызывать у некоторых соседей по влану с роутерами следующую ситуацию:

с wan фейса роутеров на свич провайдера начинают идти пакеты с src адресом 192.168.1.1

(именно этот одинаковый адрес и именно одновременно несколько соседей и именно после включения ноута плохого юзера)

и соответственно хорошие юзеры попадают в бан

(банит арп инспекшн свича доступа что логично ибо юзер получил с дхцп сервера провайдера совсем другой адрес)

Как только потушить порт плохого юзера - все становится ок

Понятно - что нужно сегментировать юзеров - хотя бы порт изолейшн + влан на свич (хотя тогда не будет связности в пределах свича - локал прокси арп нету на терминирующем вланы свиче)

а еще лучше влан на юзера - но вот просто интересно (ipv6 ipx netbios ssdp заблочил на свиче - не помогло)

(пока нет возможности и времени получить дамп трафика со свича - но ребята смотрели ноут плохого юзера и ничего подозрительного не нашли

 

Есть версии ?

это проблема в прошивках роутеров - за большинством замечено, сопливят пакеты с локального интерфейса на wan порты, бороться только или изоляцией абон портов ( например в длинке traffic segmentation) или acl-ми как подсказывают

Share this post


Link to post
Share on other sites

Порежьте ACL-ами 192.168.0.0/16 и забудьте.

Зарезал IP траф с src и dst 192.168.1.1 - не помогло. (Всю сетку 192.168.0.0/16 не могу - там есть в этом диапазоне вполне легальный трафик,

но это уже роутинг, а проблема в L2 - и конкретно с 192.168.1.1)

Возможно нужно ARP зарезать с этим адресом - но свич так не умеет. (вернее это должен делать ARP inspection - но какой-то неадекват с этим ипом)

Короче, сниму дамп трафика и напишу вендору свича (внезапно и вендор роутеров тот же :)

(пока не буду писать, что за вендор)

 

это проблема в прошивках роутеров - за большинством замечено, сопливят пакеты с локального интерфейса на wan порты,

Ок. Пока все еще нет дампа - давайте еще чуть чуть потеоретизируем:

КАК заставить "сопливить" трех соседей в один момент времени? (при этом остальных 10 соседей не затронуть).

Интересует механизм. Я бы не смог это сэмулировать на стенде - даже если бы мне заплатили.

Напомню, "виновник": обычный обыватель с ноутом. Вероятность целеноправленного злого умысла со стороны этого абонента крайне низка.

 

 

Есть версии? (рано или поздно найдем причину на практике и сравним с теоретическими предположениями, победителю надо учредить приз :)

Share this post


Link to post
Share on other sites

С чего бы это у трех человек одновременно роутер превращается в хаб из-за 4-го соседа - при включенном арп инспекш на портах (нету там проблемы арп шторма или большого к-ва маков, и сам виновник работает прекрасно

уверены, что имеет место 100% корелляция с 4м абонентом?

у нас такая кака регулярно лезет, и, вроде как, в сегментах с изолироваными хомячками тоже.

почти всё тплинки, но их в принципе большинство ...

якобы это какой-то баг в прошивках ...

вобщем пару лет назат надоело с этим бороться, принимаем как данность, что такое бывает.

если кто-то расскажет что-то дельное порадуюсь вместе с топикстартером.

 

Уверен на 100% - эксперимент с тушением порта "виновника" проводился много раз.

Собственно - так и нашли источник (но не причину).

Я все надеюсь - что баг найдется, вендор подпилит прошиву свича, и арп инспекшн будет делать нормально свою работу - т.е. не допустит ситуации, когда один абонент лекго может нарушить

работу других абонентов (причем даже не зная об этом). И при этом сам работает как ни в чем не бывало.

Share this post


Link to post
Share on other sites

Порежьте ACL-ами 192.168.0.0/16 и забудьте.

Зарезал IP траф с src и dst 192.168.1.1 - не помогло. (Всю сетку 192.168.0.0/16 не могу - там есть в этом диапазоне вполне легальный трафик,

но это уже роутинг, а проблема в L2 - и конкретно с 192.168.1.1)

Возможно нужно ARP зарезать с этим адресом - но свич так не умеет. (вернее это должен делать ARP inspection - но какой-то неадекват с этим ипом)

Короче, сниму дамп трафика и напишу вендору свича (внезапно и вендор роутеров тот же :)

(пока не буду писать, что за вендор)

 

это проблема в прошивках роутеров - за большинством замечено, сопливят пакеты с локального интерфейса на wan порты,

Ок. Пока все еще нет дампа - давайте еще чуть чуть потеоретизируем:

КАК заставить "сопливить" трех соседей в один момент времени? (при этом остальных 10 соседей не затронуть).

Интересует механизм. Я бы не смог это сэмулировать на стенде - даже если бы мне заплатили.

Напомню, "виновник": обычный обыватель с ноутом. Вероятность целеноправленного злого умысла со стороны этого абонента крайне низка.

 

 

Есть версии? (рано или поздно найдем причину на практике и сравним с теоретическими предположениями, победителю надо учредить приз :)

изоляция портов только спасет

Share this post


Link to post
Share on other sites

по опыту могу сказать, что очень часто изоляция портов пропускает всякий шлак типа igmp, v6-multicast, eapol и т.п. на разных свитчах по разному, но в целом какой-то мусор можете летать между кастомерами на изолированных портах в одном влане

Share this post


Link to post
Share on other sites

коммутаторы Zyxel 3528

юзеров менее 20 в одном влане.

Вендор клялся, что у них нету проблемы с коллизиями хеш.

Сегодня воткнул ноут в свич и оставил писать дамп трафика (зеркало трафа с порта виновника и жертвы)

Завтра ноут заберу, будем смореть дальше...

Share this post


Link to post
Share on other sites

Вендор

Может вести себя как Троцкий. Попробуйте провести синтетический тест на 7-8к маков.

Share this post


Link to post
Share on other sites

В таблице свича маков менее 30 штук в момент проблемы

С данными свичами работаем много лет

Тысячи их

Ранее такой проблемы не было замечено

Откуда тут коллизии...

Тем более роутеры меняли юзерам - а ситуация абсолютно идентично проявляется

Да и вообще поведение другое - что-то заставляет роутеры плевать 192.168.1.1 c wan порта

В любом случае - завтра будет дамп трафика

Сам посмотрю если зацепок не увижу - отправлю вендору (как я понял - они взяли паузу для создания ситуации в лабе)

(Кстати сегодня снова все четко по расписанию

включаю порт виновника

тут же в бан 2 соседа - оба 192.168.1.1)

Изоляция юзерских портов помогает на 100% - что логично

Но хочется понять механизм проблемы - ибо совсем не хочется тысячи свичей перенастраивать

и это тянет по цепочке много чего еще переделывать

Share this post


Link to post
Share on other sites

тут же в бан 2 соседа - оба 192.168.1.1)

IGMP включен на роутере проблемного клиента?, на роутере он может включаться в двух местах -настройки wan-интерфейса и в настройках IPTV. И какое количество соединений в инет у клиента в момент проскока 192.168.1.1 за пределы wan'а роутера?

Давно уже подобное встречаю у себя, но мне этот глюк не мешает.

Share this post


Link to post
Share on other sites

Перенастроить тысячи можно expect-ом, что логично.

Некоторые роутеры отвечают в wan на arping - попробуйте, может быть оно.

Share this post


Link to post
Share on other sites

я вот вчитываюсь в первое сообщение и понять немогу почему "хорошие" юзеры попадают в бан?

у вас же баниться должен только определенный порт

Share this post


Link to post
Share on other sites

Попробуйте провести синтетический тест на 7-8к маков.

 

А подскажите как?

http://forum.nag.ru/forum/index.php?showtopic=58022

Share this post


Link to post
Share on other sites

я вот вчитываюсь в первое сообщение и понять немогу почему "хорошие" юзеры попадают в бан?

у вас же баниться должен только определенный порт

Так никто не может это понять ))

В этом и суть главного вопроса топика - понять механизм этого безобразия.

Share this post


Link to post
Share on other sites

IGMP включен на роутере проблемного клиента?, на роутере он может включаться в двух местах -настройки wan-интерфейса и в настройках IPTV. И какое количество соединений в инет у клиента в момент проскока 192.168.1.1 за пределы wan'а роутера?

Давно уже подобное встречаю у себя, но мне этот глюк не мешает.

Проблемный клиент - это вы имеете ввиду - пострадавший или "виновник"?

У виновника нет роутера.

У пострадавших роутер настроен втроенным визардом все по дефолту, как у тысячи других юзеров.

Мульткаст IPTV работает. Под IGMP - вы имеете ввиду IGMP Proxy?

Настройки IGMP проверю. И к-во соединений тоже.

 

 

Перенастроить тысячи можно expect-ом, что логично.

Некоторые роутеры отвечают в wan на arping - попробуйте, может быть оно.

arping -i eth0 192.168.1.1 - конечно попробую.

Может оно и есть - ведь никто не мешает сделать произвольный арп запрос.

Арп инспекшн как раз анализирует только ответ на корректность.

Роутер по идее не должен был бы ответить на ван фейсе на этот запрос - но отвечает - и тут его как раз и банит арп инспекшн.

 

 

P.S. expect активно юзаю. Без него был бы ад.

Share this post


Link to post
Share on other sites

я вот вчитываюсь в первое сообщение и понять немогу почему "хорошие" юзеры попадают в бан?

"нехороший" начинает рассылать нечто, от чего "хорошие" роутеры начинаю слать внутренний IP во внешку через WAN и ловят бан от arp-inspection

У виновника нет роутера.

интересно, IP6 включен в сетёвке? какие ещё на сетевке у "нехорошего" абона активные компоненты?

Share this post


Link to post
Share on other sites

Свитчи меняйте на нормальные.

 

Arp inspection не должен как-либо банить порт. Он должен банить нелегетимные arp пакеты.

 

Одих хост спрашивает who has 192.168.1.1. Многие роутеры отвечают на такой arp запрос с аплинка.

Ничего криминального в этом нет, свитч должен не пропускать этот ответ.

Но на нормальной работе пользователей это сказываться не должно.

 

У самих используется vlan на район, свитчи eltex.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.