Перейти к содержимому
Калькуляторы

VLAN на дом - это плохо... ...вернее изоляция на L2 - это необходимсть. Ваш Капитан Очевидность )

Доброго времени суток, наг-сообщество.

Есть юзеры в одном влане

Есть арп инспекшн и дхцп снупинг на юзерских портах

 

Внимание - какой такой протокол/служба/трафик некоторых обычных юзеров с вендой (без роутера)

может вызывать у некоторых соседей по влану с роутерами следующую ситуацию:

с wan фейса роутеров на свич провайдера начинают идти пакеты с src адресом 192.168.1.1

(именно этот одинаковый адрес и именно одновременно несколько соседей и именно после включения ноута плохого юзера)

и соответственно хорошие юзеры попадают в бан

(банит арп инспекшн свича доступа что логично ибо юзер получил с дхцп сервера провайдера совсем другой адрес)

Как только потушить порт плохого юзера - все становится ок

Понятно - что нужно сегментировать юзеров - хотя бы порт изолейшн + влан на свич (хотя тогда не будет связности в пределах свича - локал прокси арп нету на терминирующем вланы свиче)

а еще лучше влан на юзера - но вот просто интересно (ipv6 ipx netbios ssdp заблочил на свиче - не помогло)

(пока нет возможности и времени получить дамп трафика со свича - но ребята смотрели ноут плохого юзера и ничего подозрительного не нашли

 

Есть версии ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Без дампа траффика - это гадание на кофейной гуще.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Есть версии ?

 

port-security, ограничить до 2-3 маков на порт, вклчить фильтрацию штормов, урезать левый трафик.

 

Роутер - это фактически тупой свич с виланами, со всеми истекающими последствиями. Когда он превращается в хаб - наружу вылазит его внутренний 192.168.x.x

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Роутер - это фактически тупой свич с виланами, со всеми истекающими последствиями. Когда он превращается в хаб

С чего бы это у трех человек одновременно роутер превращается в хаб из-за 4-го соседа - при включенном арп инспекш на портах (нету там проблемы арп шторма или большого к-ва маков, и сам виновник работает прекрасно

с одним маком и ип).

Согласен - что без дампа - это гадание.

Но пока не получается организовать...

 

урезать левый трафик.

С большего подрезан.

Но, вообще - это гемор - отслеживать все более новый левый трафик и потом менять ACL на тысячах свичей, хоть и полуавтоматически.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

С чего бы это у трех человек одновременно роутер превращается в хаб из-за 4-го соседа - при включенном арп инспекш на портах (нету там проблемы арп шторма или большого к-ва маков, и сам виновник работает прекрасно

уверены, что имеет место 100% корелляция с 4м абонентом?

у нас такая кака регулярно лезет, и, вроде как, в сегментах с изолироваными хомячками тоже.

почти всё тплинки, но их в принципе большинство ...

якобы это какой-то баг в прошивках ...

вобщем пару лет назат надоело с этим бороться, принимаем как данность, что такое бывает.

если кто-то расскажет что-то дельное порадуюсь вместе с топикстартером.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Доброго времени суток, наг-сообщество.

Есть юзеры в одном влане

Есть арп инспекшн и дхцп снупинг на юзерских портах

 

Внимание - какой такой протокол/служба/трафик некоторых обычных юзеров с вендой (без роутера)

может вызывать у некоторых соседей по влану с роутерами следующую ситуацию:

с wan фейса роутеров на свич провайдера начинают идти пакеты с src адресом 192.168.1.1

(именно этот одинаковый адрес и именно одновременно несколько соседей и именно после включения ноута плохого юзера)

и соответственно хорошие юзеры попадают в бан

(банит арп инспекшн свича доступа что логично ибо юзер получил с дхцп сервера провайдера совсем другой адрес)

Как только потушить порт плохого юзера - все становится ок

Понятно - что нужно сегментировать юзеров - хотя бы порт изолейшн + влан на свич (хотя тогда не будет связности в пределах свича - локал прокси арп нету на терминирующем вланы свиче)

а еще лучше влан на юзера - но вот просто интересно (ipv6 ipx netbios ssdp заблочил на свиче - не помогло)

(пока нет возможности и времени получить дамп трафика со свича - но ребята смотрели ноут плохого юзера и ничего подозрительного не нашли

 

Есть версии ?

это проблема в прошивках роутеров - за большинством замечено, сопливят пакеты с локального интерфейса на wan порты, бороться только или изоляцией абон портов ( например в длинке traffic segmentation) или acl-ми как подсказывают

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Порежьте ACL-ами 192.168.0.0/16 и забудьте.

Зарезал IP траф с src и dst 192.168.1.1 - не помогло. (Всю сетку 192.168.0.0/16 не могу - там есть в этом диапазоне вполне легальный трафик,

но это уже роутинг, а проблема в L2 - и конкретно с 192.168.1.1)

Возможно нужно ARP зарезать с этим адресом - но свич так не умеет. (вернее это должен делать ARP inspection - но какой-то неадекват с этим ипом)

Короче, сниму дамп трафика и напишу вендору свича (внезапно и вендор роутеров тот же :)

(пока не буду писать, что за вендор)

 

это проблема в прошивках роутеров - за большинством замечено, сопливят пакеты с локального интерфейса на wan порты,

Ок. Пока все еще нет дампа - давайте еще чуть чуть потеоретизируем:

КАК заставить "сопливить" трех соседей в один момент времени? (при этом остальных 10 соседей не затронуть).

Интересует механизм. Я бы не смог это сэмулировать на стенде - даже если бы мне заплатили.

Напомню, "виновник": обычный обыватель с ноутом. Вероятность целеноправленного злого умысла со стороны этого абонента крайне низка.

 

 

Есть версии? (рано или поздно найдем причину на практике и сравним с теоретическими предположениями, победителю надо учредить приз :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

С чего бы это у трех человек одновременно роутер превращается в хаб из-за 4-го соседа - при включенном арп инспекш на портах (нету там проблемы арп шторма или большого к-ва маков, и сам виновник работает прекрасно

уверены, что имеет место 100% корелляция с 4м абонентом?

у нас такая кака регулярно лезет, и, вроде как, в сегментах с изолироваными хомячками тоже.

почти всё тплинки, но их в принципе большинство ...

якобы это какой-то баг в прошивках ...

вобщем пару лет назат надоело с этим бороться, принимаем как данность, что такое бывает.

если кто-то расскажет что-то дельное порадуюсь вместе с топикстартером.

 

Уверен на 100% - эксперимент с тушением порта "виновника" проводился много раз.

Собственно - так и нашли источник (но не причину).

Я все надеюсь - что баг найдется, вендор подпилит прошиву свича, и арп инспекшн будет делать нормально свою работу - т.е. не допустит ситуации, когда один абонент лекго может нарушить

работу других абонентов (причем даже не зная об этом). И при этом сам работает как ни в чем не бывало.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

man781 свичи доступа, какие модели ? Дома бывают и многоподьездные, сколько абонентов во влане ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Порежьте ACL-ами 192.168.0.0/16 и забудьте.

Зарезал IP траф с src и dst 192.168.1.1 - не помогло. (Всю сетку 192.168.0.0/16 не могу - там есть в этом диапазоне вполне легальный трафик,

но это уже роутинг, а проблема в L2 - и конкретно с 192.168.1.1)

Возможно нужно ARP зарезать с этим адресом - но свич так не умеет. (вернее это должен делать ARP inspection - но какой-то неадекват с этим ипом)

Короче, сниму дамп трафика и напишу вендору свича (внезапно и вендор роутеров тот же :)

(пока не буду писать, что за вендор)

 

это проблема в прошивках роутеров - за большинством замечено, сопливят пакеты с локального интерфейса на wan порты,

Ок. Пока все еще нет дампа - давайте еще чуть чуть потеоретизируем:

КАК заставить "сопливить" трех соседей в один момент времени? (при этом остальных 10 соседей не затронуть).

Интересует механизм. Я бы не смог это сэмулировать на стенде - даже если бы мне заплатили.

Напомню, "виновник": обычный обыватель с ноутом. Вероятность целеноправленного злого умысла со стороны этого абонента крайне низка.

 

 

Есть версии? (рано или поздно найдем причину на практике и сравним с теоретическими предположениями, победителю надо учредить приз :)

изоляция портов только спасет

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

по опыту могу сказать, что очень часто изоляция портов пропускает всякий шлак типа igmp, v6-multicast, eapol и т.п. на разных свитчах по разному, но в целом какой-то мусор можете летать между кастомерами на изолированных портах в одном влане

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А у вас часом не какой-нибудь DES-3028 с коллизиями хешей?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

коммутаторы Zyxel 3528

юзеров менее 20 в одном влане.

Вендор клялся, что у них нету проблемы с коллизиями хеш.

Сегодня воткнул ноут в свич и оставил писать дамп трафика (зеркало трафа с порта виновника и жертвы)

Завтра ноут заберу, будем смореть дальше...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вендор

Может вести себя как Троцкий. Попробуйте провести синтетический тест на 7-8к маков.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В таблице свича маков менее 30 штук в момент проблемы

С данными свичами работаем много лет

Тысячи их

Ранее такой проблемы не было замечено

Откуда тут коллизии...

Тем более роутеры меняли юзерам - а ситуация абсолютно идентично проявляется

Да и вообще поведение другое - что-то заставляет роутеры плевать 192.168.1.1 c wan порта

В любом случае - завтра будет дамп трафика

Сам посмотрю если зацепок не увижу - отправлю вендору (как я понял - они взяли паузу для создания ситуации в лабе)

(Кстати сегодня снова все четко по расписанию

включаю порт виновника

тут же в бан 2 соседа - оба 192.168.1.1)

Изоляция юзерских портов помогает на 100% - что логично

Но хочется понять механизм проблемы - ибо совсем не хочется тысячи свичей перенастраивать

и это тянет по цепочке много чего еще переделывать

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

тут же в бан 2 соседа - оба 192.168.1.1)

IGMP включен на роутере проблемного клиента?, на роутере он может включаться в двух местах -настройки wan-интерфейса и в настройках IPTV. И какое количество соединений в инет у клиента в момент проскока 192.168.1.1 за пределы wan'а роутера?

Давно уже подобное встречаю у себя, но мне этот глюк не мешает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Перенастроить тысячи можно expect-ом, что логично.

Некоторые роутеры отвечают в wan на arping - попробуйте, может быть оно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Попробуйте провести синтетический тест на 7-8к маков.

 

А подскажите как?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

я вот вчитываюсь в первое сообщение и понять немогу почему "хорошие" юзеры попадают в бан?

у вас же баниться должен только определенный порт

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Попробуйте провести синтетический тест на 7-8к маков.

 

А подскажите как?

http://forum.nag.ru/forum/index.php?showtopic=58022

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

я вот вчитываюсь в первое сообщение и понять немогу почему "хорошие" юзеры попадают в бан?

у вас же баниться должен только определенный порт

Так никто не может это понять ))

В этом и суть главного вопроса топика - понять механизм этого безобразия.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

IGMP включен на роутере проблемного клиента?, на роутере он может включаться в двух местах -настройки wan-интерфейса и в настройках IPTV. И какое количество соединений в инет у клиента в момент проскока 192.168.1.1 за пределы wan'а роутера?

Давно уже подобное встречаю у себя, но мне этот глюк не мешает.

Проблемный клиент - это вы имеете ввиду - пострадавший или "виновник"?

У виновника нет роутера.

У пострадавших роутер настроен втроенным визардом все по дефолту, как у тысячи других юзеров.

Мульткаст IPTV работает. Под IGMP - вы имеете ввиду IGMP Proxy?

Настройки IGMP проверю. И к-во соединений тоже.

 

 

Перенастроить тысячи можно expect-ом, что логично.

Некоторые роутеры отвечают в wan на arping - попробуйте, может быть оно.

arping -i eth0 192.168.1.1 - конечно попробую.

Может оно и есть - ведь никто не мешает сделать произвольный арп запрос.

Арп инспекшн как раз анализирует только ответ на корректность.

Роутер по идее не должен был бы ответить на ван фейсе на этот запрос - но отвечает - и тут его как раз и банит арп инспекшн.

 

 

P.S. expect активно юзаю. Без него был бы ад.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

я вот вчитываюсь в первое сообщение и понять немогу почему "хорошие" юзеры попадают в бан?

"нехороший" начинает рассылать нечто, от чего "хорошие" роутеры начинаю слать внутренний IP во внешку через WAN и ловят бан от arp-inspection

У виновника нет роутера.

интересно, IP6 включен в сетёвке? какие ещё на сетевке у "нехорошего" абона активные компоненты?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Свитчи меняйте на нормальные.

 

Arp inspection не должен как-либо банить порт. Он должен банить нелегетимные arp пакеты.

 

Одих хост спрашивает who has 192.168.1.1. Многие роутеры отвечают на такой arp запрос с аплинка.

Ничего криминального в этом нет, свитч должен не пропускать этот ответ.

Но на нормальной работе пользователей это сказываться не должно.

 

У самих используется vlan на район, свитчи eltex.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.