faq обучение настройка
Текущее время: Ср ноя 22, 2017 12:31

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 12 ] 
Автор Сообщение
 Заголовок сообщения: ARP flood DAS-3224 rev. А1
СообщениеДобавлено: Чт мар 03, 2016 05:48 
Не в сети

Зарегистрирован: Чт мар 03, 2016 05:28
Сообщений: 6
Есть 6 DAS-3224 rev. А1 подключены к des-3026 дальше через wi-fi мост к микротику (BRAS). Проблема заключается в том что происходит подмена MAC адреса GateWay (Выяснили это командой telnet ip arp status). До проблемы пользовались авторизацией PPPoE, после перешли на динамический IP и инет стал пропадать, получается такая проблема вылезла на всей линейке беспроводных ADSL маршрутизаторах от TP-Link. Схема получается следующая: один из модемов передает ложный MAC в сеть другой этот мак принимает за шлюз и теряет путь к интернету.

Изначально настройки DSLAM дефолтные. Были применены следующие команды:

Код:
сreate ip route rid 0  ip 0.0.0.0  mask  0.0.0.0  gwyip XX:XX:XX:XX ifname ANYWAN
create arp rid 0 ipXX:XX:XX:XX macaddr ff:ff:ff:ff:ff:ff
create ip route ip 0.0.0.0 mask 0.0.0.0 gwyip XX:XX:XX:XX
create ip route ip XX:XX:XX:0 mask 255.255.255.0 gwyip XX:XX:XX:XX

create rl profile info profileid 1 level packet
modify rl profile info profileid 1 rate 10
create rl actionprofile info profileid 1 result violate action drop
create rl instance info instanceid 1 profileid 1 actionprofileid 1
create bridge rlinstance map portid all flowtype bcast instanceid 1

modify vlan static vlanid 1 bridgingmode Restricted


Это ни к чему не привело, флуд продолжается! Подскажите что можно сделать из этой схемы?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: ARP flood DAS-3224 rev. А1
СообщениеДобавлено: Чт мар 03, 2016 12:06 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт мар 17, 2005 11:14
Сообщений: 1314
Откуда: Воронеж
Я правильно понял, что у вас все ADSL маршрутизаторы имеют один и тот же MAC WAN порта ?
Иначе как получается, что "один из модемов передает ложный MAC в сеть другой этот мак принимает за шлюз и теряет путь к интернету".
Если я вас неправильно понял, поясните, пожалуйста, что это предложение значит.

_________________
С уважением, Гакало Алексей


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: ARP flood DAS-3224 rev. А1
СообщениеДобавлено: Чт мар 03, 2016 15:36 
Не в сети

Зарегистрирован: Чт мар 03, 2016 05:28
Сообщений: 6
Нет, маки разные. У нас авторизация по мак адресу, и сервер не разрешает дублирование маков.
В кратце: у абонента пропадает интернет, я смотрю на арп таблицу и вижу, что мак шлюза другой, пробиваю мак по базе, а это другой абонент с таким же роутером. Причём каждый раз это разные абоненты.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: ARP flood DAS-3224 rev. А1
СообщениеДобавлено: Чт мар 03, 2016 17:32 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт мар 17, 2005 11:14
Сообщений: 1314
Откуда: Воронеж
Т.е. у вас вместо того, что бы быть одинаковые маки назначения- шлюза ( мак ближайшего маршрутизатора) - все они разные для разных клиентов (модемов), причем часто случайным образом?
Тогда DSLAМ вас скорее всего никак не спасет.

_________________
С уважением, Гакало Алексей


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: ARP flood DAS-3224 rev. А1
СообщениеДобавлено: Чт мар 03, 2016 19:03 
Не в сети

Зарегистрирован: Чт мар 03, 2016 05:28
Сообщений: 6
Эм, не совсем понял. Абонент с роутером изначально подключается к шлюзу (пока что Mikrotik RB2011UAS-RM), получает нужный МАС (нужного нам шлюза) и все работает. Но проходит какое-то время от 15 мин до 12 часов и МАС адрес шлюза изменяется, IP при этом тот же (шлюза) - инет не работает. Помогает перезагрузка роутера, но опять же на неопределенный срок.
И если средствами DSLAМ это не исправить, то можете подсказать, что можно сделать?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: ARP flood DAS-3224 rev. А1
СообщениеДобавлено: Чт мар 03, 2016 19:48 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт мар 17, 2005 11:14
Сообщений: 1314
Откуда: Воронеж
DSLAM- это по сути dsl L2+ коммутатор. Он не может изменять мак назначения по своему усмотрению ( фильтровать пакеты да, изменять нет).Он просто коммутирует пакеты согласно макам (Обычная L2 коммутация).

Что делать - Очевидно. Добиться того,чтобы мак назначения в пакетах (мак шлюза) не менялся.

_________________
С уважением, Гакало Алексей


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: ARP flood DAS-3224 rev. А1
СообщениеДобавлено: Пт мар 04, 2016 04:22 
Не в сети

Зарегистрирован: Чт мар 03, 2016 05:28
Сообщений: 6
Цитата:
Добиться того,чтобы мак назначения в пакетах (мак шлюза) не менялся.

Вот собственно ответ на этот вопрос мне и интересен. Есть какие то конкретные решения этой проблемы?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: ARP flood DAS-3224 rev. А1
СообщениеДобавлено: Пт мар 04, 2016 11:20 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт мар 17, 2005 11:14
Сообщений: 1314
Откуда: Воронеж
Менять конкретно с помощью DSLAМа нет.
На DSLAМе вы можете только фильтровать неправильные пакеты (с помощью Generic Filter на портах на критерий Destination MAC).

_________________
С уважением, Гакало Алексей


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: ARP flood DAS-3224 rev. А1
СообщениеДобавлено: Пт мар 04, 2016 11:50 
Не в сети

Зарегистрирован: Чт мар 03, 2016 05:28
Сообщений: 6
Спасибо за наводку! Буду смотреть. Заранее поинтересуюсь: если DSLAM'ом это решить не получится, то чем и как эту проблему можно будет решить?
Читал что возможно 82 опция DHCP это может решить, нашел фак на сайте но застопорился на команде
Код:
Переключение в режим упрощенной настройки (usermode):
usermode

на этой команде DSLAM отвечает:
Код:
$ usermode
Error: Invalid command


Код:
$ get system info

Description       : 111000110101010101010011000000000000000010000000
Name              :
Location          :
Contact           :
Vendor            :
LogThreshold      : 0
Object-id         : 1.3.6.1.4.1.171.10.65.1
Up Time(HH:MM:SS) : 261:50:7
HwVersion         : ADSL-1.0
CPLDVersion       : 1.9
CPSwVersion       : COL2.10.3.2.070221
CPSwVersion(Build): D.3.07.i1000.ADSL2+.A PRIMARY (GS_API_654/E.67.1.69)
DPSwVersion       : DP_B02_10_28_04_ip1000a
System Time       : Sun Jan 11 21:50:07 1970
Time Zone         : GMT
DST               : off
Services          : physical datalink internet end-to-end   applications


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: ARP flood DAS-3224 rev. А1
СообщениеДобавлено: Пт мар 04, 2016 12:00 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт мар 17, 2005 11:14
Сообщений: 1314
Откуда: Воронеж
82 опция DHCP позволяет лишь "метить" DHCP пакеты ( чтобы отличать друг от друга их по приходу на сервер). То есть она годится лишь для привязки выдачи IP на сервере к порту или маку клиента (т.е. к Source MAC).на Destination MAC она не влияет.

Проблему же лучше всего решить правильной работой абонентского сетевого оборудования ( ADSL маршрутизаторов) :). Как - вопрос больше к ее производителю :)

_________________
С уважением, Гакало Алексей


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: ARP flood DAS-3224 rev. А1
СообщениеДобавлено: Вт июн 07, 2016 18:11 
Не в сети

Зарегистрирован: Чт янв 28, 2010 11:28
Сообщений: 14
gorracio писал(а):
Есть 6 DAS-3224 rev. А1 подключены к des-3026 дальше через wi-fi мост к микротику (BRAS). Проблема заключается в том что происходит подмена MAC адреса GateWay (Выяснили это командой telnet ip arp status). До проблемы пользовались авторизацией PPPoE, после перешли на динамический IP и инет стал пропадать, получается такая проблема вылезла на всей линейке беспроводных ADSL маршрутизаторах от TP-Link. Схема получается следующая: один из модемов передает ложный MAC в сеть другой этот мак принимает за шлюз и теряет путь к интернету.

Изначально настройки DSLAM дефолтные. Были применены следующие команды:

Код:
сreate ip route rid 0  ip 0.0.0.0  mask  0.0.0.0  gwyip XX:XX:XX:XX ifname ANYWAN
create arp rid 0 ipXX:XX:XX:XX macaddr ff:ff:ff:ff:ff:ff
create ip route ip 0.0.0.0 mask 0.0.0.0 gwyip XX:XX:XX:XX
create ip route ip XX:XX:XX:0 mask 255.255.255.0 gwyip XX:XX:XX:XX

create rl profile info profileid 1 level packet
modify rl profile info profileid 1 rate 10
create rl actionprofile info profileid 1 result violate action drop
create rl instance info instanceid 1 profileid 1 actionprofileid 1
create bridge rlinstance map portid all flowtype bcast instanceid 1

modify vlan static vlanid 1 bridgingmode Restricted


Это ни к чему не привело, флуд продолжается! Подскажите что можно сделать из этой схемы?


Смотрите в сторону фунции Virtual MAC на дисламе. Либо полная изоляция клиентов (портов) до браса чрезе q-in-q. Но наверное в вашем случае удобнее и быстрее реализовать через Virtual MAC.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: ARP flood DAS-3224 rev. А1
СообщениеДобавлено: Ср июн 08, 2016 11:49 
Не в сети

Зарегистрирован: Чт мар 03, 2016 05:28
Сообщений: 6
Всем спасибо за помощь! Проблему удалось решить приобретением и установкой коммутатора DES-3200


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 12 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB