faq обучение настройка
Текущее время: Пт мар 29, 2024 10:33

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 6 ] 
Автор Сообщение
 Заголовок сообщения: DES-3200 и packet_content
СообщениеДобавлено: Чт дек 11, 2014 18:25 
Не в сети

Зарегистрирован: Чт дек 11, 2014 18:19
Сообщений: 3
Здравствуйте.

Подскажите, пожалуйста каким образом с помощью DES-3200-26 Fast Ethernet Switch можно отфильтровать arp-flood подобного вида:

Код:
2014-12-11 11:11:08.370106 ARP, Request who-has 192.168.0.1 tell 192.168.0.1, length 46
        0x0000:  ffff ffff ffff f81a 67c3 90d0 0806 0001
        0x0010:  0800 0604 0001 f81a 67c3 90d0 c0a8 0001
        0x0020:  0000 0000 0000 c0a8 0001 0000 0000 0000
        0x0030:  0000 0000 0000 0000 0000 0000
2014-12-11 11:11:08.372030 ARP, Request who-has 192.168.0.1 tell 192.168.0.1, length 46
        0x0000:  ffff ffff ffff f81a 67c3 90d0 0806 0001
        0x0010:  0800 0604 0001 f81a 67c3 90d0 c0a8 0001
        0x0020:  0000 0000 0000 c0a8 0001 0000 0000 0000
        0x0030:  0000 0000 0000 0000 0000 0000
2014-12-11 11:11:08.372092 ARP, Request who-has 192.168.0.1 tell 192.168.0.1, length 46
        0x0000:  ffff ffff ffff f81a 67c3 90d0 0806 0001
        0x0010:  0800 0604 0001 f81a 67c3 90d0 c0a8 0001
        0x0020:  0000 0000 0000 c0a8 0001 0000 0000 0000
        0x0030:  0000 0000 0000 0000 0000 0000
2014-12-11 11:11:08.374715 ARP, Request who-has 192.168.0.1 tell 192.168.0.1, length 46
        0x0000:  ffff ffff ffff f81a 67c3 90d0 0806 0001
        0x0010:  0800 0604 0001 f81a 67c3 90d0 c0a8 0001
        0x0020:  0000 0000 0000 c0a8 0001 0000 0000 0000


Этот трафик приходит от роутеров абонентов TPLink 841N/D, когда кабель провайдера оказывается в лан порту.
Иными словами необходимо запретить хождение arp с адреса 192.168.0.1.

Насколько я понимаю надо смотреть в сторону PCF и делать примерно следующее:

Код:
DES-3200-26:5#create access_profile packet_content_mask offset1 ?
Command: create access_profile packet_content_mask offset1

Next possible completions:
l2                  l3                  l4


И далее генерировать правила для 0x0806 и c0a80001
Но вот как разобраться что из содержимого пакета относится к l2, l3, l4 непонятно

Есть ли возможность у кого-нибудь привести пример рабочего конфига? Буду благодарен за любую помощь.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200 и packet_content
СообщениеДобавлено: Чт дек 11, 2014 19:28 
Не в сети

Зарегистрирован: Вс дек 21, 2008 18:53
Сообщений: 1308
Аппаратная ревизия коммутатора какая?

_________________
D-Link Switches: Tips & Tricks


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200 и packet_content
СообщениеДобавлено: Чт дек 11, 2014 21:59 
Не в сети

Зарегистрирован: Чт дек 11, 2014 18:19
Сообщений: 3
Забыл указать

Hardware Version : A1

Но если есть правила для ревизии C1, то тоже был бы благодарен за примеры, есть в хозяйстве и такие коммутаторы.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200 и packet_content
СообщениеДобавлено: Чт дек 11, 2014 22:27 
Не в сети

Зарегистрирован: Вс дек 21, 2008 18:53
Сообщений: 1308
У меня по части ARP другой подход: разрешить нужное и запретить остальной ARP.
Код:
create access_profile packet_content_mask offset1 l2 0 0xFFFF offset2 l3 16 0xF8 profile_id 5
config access_profile profile_id 5 add access_id auto_assign packet_content offset1 0x0806 offset2 0x08 port 1 permit
config access_profile profile_id 5 add access_id auto_assign packet_content offset1 0x0806 offset2 0x10 port 2 permit


Код:
create access_profile packet_content_mask offset1 l2 0 0xFFFF profile_id 6
config access_profile profile_id 6 add access_id auto_assign packet_content offset1 0x0806 port 1-24 deny


5-й профиль, 1-е правило - разрешить ARP с IP-адресом в теле *.*.*.8-15 на первом порту
5-й профиль, 2-е правило - разрешить ARP с IP-адресом в теле *.*.*.15-23 на втором порту
6-й профиль, 1-е правило - запретить все ARP

Можете попробовать это переделать под себя, только полный адрес будет уже не на 16-й позиции, а, наверное, на 14-й. Если не получится, тогда я посмотрю.

p.s. 8 адресов за 1 правило из-за маски 0xF8. Если хочется под один адрес, ее надо переделать на 0xFF.

_________________
D-Link Switches: Tips & Tricks


Последний раз редактировалось xcme Пт дек 12, 2014 12:41, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200 и packet_content
СообщениеДобавлено: Пт дек 12, 2014 12:07 
Не в сети

Зарегистрирован: Чт дек 11, 2014 18:19
Сообщений: 3
xcme, благодарю за пример

Решил заблокировать хождение arp для всей сети 192.168.0.0/23 (так как клиентский arp-флуд в 99% случаев исходит из этой сети)

На основе Ваших правил получилось следующее:
Код:
create access_profile  packet_content_mask   offset1 l2 0 0xFFFF  offset2 l3 14 0xFFFF  offset3 l3 16 0xFE00  profile_id 7
config access_profile profile_id 7  add access_id 1  packet_content   offset1 0x0806 offset2 0xc0a8 offset3 0x0000 port 1-28 deny

Вроде бы должно сработать, буду тестировать сейчас.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200 и packet_content
СообщениеДобавлено: Чт мар 29, 2018 14:55 
Не в сети

Зарегистрирован: Вт май 16, 2006 13:02
Сообщений: 867
Откуда: Ukraine
Тема старая, но вдруг.
Для 3526 Hardware Version 0A3G как можно подобное написать, что бы конкретно арп от этих адресов урезать ?


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 6 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 52


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB