faq обучение настройка
Текущее время: Вт дек 10, 2019 19:42

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 7 ] 
Автор Сообщение
 Заголовок сообщения: DAS-3224DC MAC spoofing
СообщениеДобавлено: Пт июн 24, 2011 00:04 
Не в сети

Зарегистрирован: Пт мар 06, 2009 05:54
Сообщений: 71
Откуда: Москва
Здравствуйте.
Помогите, пожалуйста, разобраться с проблемой.
Модель предоставления сервисов абоненту - INET PPPoE, IPTV DHCP, INET Vlan per user, mcast vlan общий на весь узел(один или несколько dslam)

Проблема состоит в том, что у многих абонентов не настроен pvc-port-mapping, да еще и внутренние локальные сети. Каким образом защититься от петель в такой схеме? Десятки, стотни MAC-адресов смешиваются между собой как в multicast-vlan, так и в абонентских. Причем не внутри одного дслам, а МЕЖДУ дсламами.

Трафик IPTV может задваиваться, прочие радости...
Что делать в такой ситуации? Я имею в виду только технические стороны; с абонентами работу ведем.
Может как-то можно включить STP/RSTP на абонентских портах? Пусть тогда DSLAM сам отрубает абонентские порты полностью
DSLAM - 3224DC revB, revC


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DAS-3224DC MAC spoofing
СообщениеДобавлено: Пт июн 24, 2011 14:38 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт мар 17, 2005 11:14
Сообщений: 1314
Откуда: Воронеж
Какие именнно модели DAS вы используете?
Какой ревизии (A, B или С)?
На DAS начиная с ревизии B ( прошивки 2.43 и старше) есть RSTP.
Соответственно можно сконфигурировать Bridge интерфейсы как edge порты.
Подробности синтаксиса RSTP на DAS вот в этом мануале (глава 8)
ftp://ftp.dlink.ru/pub/IPDSLAM/DAS-3224 ... B_2.43.pdf

_________________
С уважением, Гакало Алексей


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DAS-3224DC MAC spoofing
СообщениеДобавлено: Пт июн 24, 2011 15:02 
Не в сети

Зарегистрирован: Пт мар 06, 2009 05:54
Сообщений: 71
Откуда: Москва
3224 revB, revC
Не получается. В документации можно rstp на всех портах, но дока для 2.43. А тут не та, да и синтаксис чуть другой:

zeya-ro3-3-dslam6#get rstp port info port 1

Port : 1 PortId : 0x8001
Priority : 0x80 State : forwarding
Port Enable : Enable Path Cost : 20000
Desig Root : 0x20009C4E20093F00
Desig Bridge : 0x8000A40CC3118200
Desig Port : 0x8006 Desig Cost : 0
Edge : false
Migration : false Role : root
zeya-ro3-3-dslam6#get rstp port info port 2

Port : 2 PortId : 0x8002
Priority : 0x80 State : disabled
Port Enable : Enable Path Cost : 20000
Desig Root : 0x0000000000000000
Desig Bridge : 0x0000000000000000
Desig Port : 0x8002 Desig Cost : 0
Edge : true
Migration : false Role : Disabled
zeya-ro3-3-dslam6#get rstp port info port 3
Error: Invalid parameter value specified
port <dec>
zeya-ro3-3-dslam6#get rstp port info port 385
Error: Invalid parameter value specified
port <dec>
zeya-ro3-3-dslam6#modify rstp port info port 3 portEnable enable
Error: Invalid parameter value specified
port <dec>
zeya-ro3-3-dslam6#

В данном случае это 3224DC revB. Либо я что-то не то делаю, либо в прошивке это изменилось.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DAS-3224DC MAC spoofing
СообщениеДобавлено: Пт июн 24, 2011 15:28 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт мар 17, 2005 11:14
Сообщений: 1314
Откуда: Воронеж
Да, вы правы. Приношу свои извенения за введение в заблуждение.
RSTP есть только на Uplink портах ( port 1, port 2).
На клиентских портах STP/RSTP нет.

_________________
С уважением, Гакало Алексей


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DAS-3224DC MAC spoofing
СообщениеДобавлено: Пт июн 24, 2011 15:50 
Не в сети

Зарегистрирован: Пт мар 06, 2009 05:54
Сообщений: 71
Откуда: Москва
((((
Алексей, получается решения нет? MAC-antispoofing'а я тоже не нашел.
Есть еще вариант - L2-ACL. На 24 inet-порта повесить ограничение в разумное кол-во(5?) адресов, а другие 24(IPTV-VC) ограничить 4-мя 3-байтными группами адресов.
Дслам справится со второй частью? т.е.

permit E4:27:71:00:00:00 mask 00:00:00:ff:ff:ff
permit 00:02:02
permit 00:05:E7
permit 00:17:19
deny all

Дополнительно еще правила на DHCP-сервер у абонента - это на каждый из 48(bridge) портов 2in, 2out

Справится ли дслам с такой нагрузкой?

Может все-таки какое-то более неизвратное решение есть?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DAS-3224DC MAC spoofing
СообщениеДобавлено: Пт июн 24, 2011 16:12 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт мар 17, 2005 11:14
Сообщений: 1314
Откуда: Воронеж
rz3dwy писал(а):
((((
Алексей, получается решения нет? MAC-antispoofing'а я тоже не нашел.
Есть еще вариант - L2-ACL. На 24 inet-порта повесить ограничение в разумное кол-во(5?) адресов, а другие 24(IPTV-VC) ограничить 4-мя 3-байтными группами адресов.
Дслам справится со второй частью? т.е.

permit E4:27:71:00:00:00 mask 00:00:00:ff:ff:ff
permit 00:02:02
permit 00:05:E7
permit 00:17:19
deny all

Дополнительно еще правила на DHCP-сервер у абонента - это на каждый из 48(bridge) портов 2in, 2out

Справится ли дслам с такой нагрузкой?

Может все-таки какое-то более неизвратное решение есть?


Не вижу проблем:
1.MAC ACL ( L2 ACL) для антиcпуфинга- для Unicast трафика абонентов.
(9.2. Access Control List в DAS-3248)

2.MVR (мультикастовый VLAN) и фильтры мультикаста для группового трафика.
(7.5.4. Фильтрация Multicast потоков, 7.5.5. Использования Multicast VLAN Registration (MVLAN Registration))

3.Generic Flter ( L3-L4 ACL) для DHCP фильтра.
(9.1.Generic Filter)

_________________
С уважением, Гакало Алексей


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DAS-3224DC MAC spoofing
СообщениеДобавлено: Пт июн 24, 2011 16:18 
Не в сети

Зарегистрирован: Пт мар 06, 2009 05:54
Сообщений: 71
Откуда: Москва
Ок, большое спасибо за помощь. Буду пробовать такой вариант.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 7 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB