D-Link • Просмотр темы - [DES-3028] DHCP Snooping + IMPB

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

[DES-3028] DHCP Snooping + IMPB - блокируют MAC-шлюза

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 2 из 3

[ Сообщений: 38 ]

На страницу Пред. 1, 2, 3 След.

Предыдущая тема | Следующая тема

Автор

Сообщение

karyonandrew

Заголовок сообщения:

Добавлено: Чт мар 18, 2010 16:43

Зарегистрирован: Вт сен 29, 2009 18:23
Сообщений: 17

Для 3526 какая версия прошивки с обновленным IMPB?

Аналогично со шлюзом, можно блокировать маки клиентов совместно находящихся на коммутаторе. Т.е. не нравится мне сосед, поставил его мак и пусть отдыхает.

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Чт мар 18, 2010 17:38

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

2 karyonandrew > Для DES-3526 IMPB v3.8 планируется в офф R6

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

karyonandrew

Заголовок сообщения:

Добавлено: Пт мар 19, 2010 13:28

Зарегистрирован: Вт сен 29, 2009 18:23
Сообщений: 17

если у меня прошивка 6.00.b36, в ней уже IMPB 3.8?
Каким образом решается вышеописанная проблема с IMPB 3.8?
что изменено?

есть еще проблема:
при включенном dhcp_relay + snooping, запустив генератор arp трафика (у пользователя может быть вирус) вызываем IMBP stop learning mode , однако это не мешает коммутатору продолжать следить за arp пакетами со 100% загрузкой cpu до включения safeguard engine. При включении safeguard engine отключается dhcp_relay, в результате все пользователи на свиче перестают работают работать по истечении lease time.

Аналогичный результат получим сгенерировав много dhcp пакетов.

Вернуться наверх

svsh1990

Заголовок сообщения:

Добавлено: Сб мар 20, 2010 10:46

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль

karyonandrew писал(а):

если у меня прошивка 6.00.b36, в ней уже IMPB 3.8?

Руслан имеет ввиду офф релиз.

_________________
LiveComm

Вернуться наверх

Tweak

Заголовок сообщения:

Добавлено: Сб мар 20, 2010 19:00

Зарегистрирован: Пн май 18, 2009 22:59
Сообщений: 25

Bigarov Ruslan писал(а):

Решение проблемы - это FW 2.50.B08 и использование IMPB v3.8 + ARP Spoofing Prevention

Руслан, просветите пожалуйста чем отличается IMPB в данной прошивке от предыдущих с учётом данной проблемы ? ARP SP фактически добавляет ACL правила для фильтрации ARP-пакетов. Но в режиме Strict IMPB, МАС-адрес отправляется в блок любым пакетом, поэтому просто фильтрации ARP-пакетов наверное недостаточно.

Протестировать в бою 2.50.b08 пока не довелось и возможно опыты уже буду ставить на 2.52. О результатах отпишусь после получения прошивки (запрос сделал в соотв. теме).

Добавлено:
Нашёл ответ в соседней теме:

Demin Ivan писал(а):

В последней прошивке которую я Вам выслал в режиме IMP DHCP Snooping если выставить режим strict на порту, то MAC-адрес не блокируется а просто отбрасывается трафик с невалидной связки.

Т.е. фактически это получается как в mode = ACL на 3200-28 ?

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Пн мар 22, 2010 10:34

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

karyonandrew писал(а):

если у меня прошивка 6.00.b36, в ней уже IMPB 3.8?

Официального R6 ещё нет, он должен появится в конце апреля.

Цитата:

Каким образом решается вышеописанная проблема с IMPB 3.8?
что изменено?

Улучшенная работа ARP Spoofing Prevention и как писал Иван Дёмин, IMPB не блокирует МАС адреса, а на лету фильтрует весь трафик и пропускает только разрешённые связки.

Цитата:

есть еще проблема:
при включенном dhcp_relay + snooping, запустив генератор arp трафика (у пользователя может быть вирус) вызываем IMBP stop learning mode , однако это не мешает коммутатору продолжать следить за arp пакетами со 100% загрузкой cpu до включения safeguard engine. При включении safeguard engine отключается dhcp_relay, в результате все пользователи на свиче перестают работают работать по истечении lease time.

Аналогичный результат получим сгенерировав много dhcp пакетов.

Пока ещё не тестировал IMPB v3.8 на flooding ARP и DHCP Discovery пакетами.

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

Tweak

Заголовок сообщения:

Добавлено: Сб апр 03, 2010 02:51

Зарегистрирован: Пн май 18, 2009 22:59
Сообщений: 25

Погоняли две недели прошивку 2.52.b02 на свитчах где из-за блокировки МАС-адреса шлюза, приходилось отключать на портах IMPB и пользоваться ACL. IMPB в режиме strict+ACL отрабатывает на ура. Никаких проблем не замечано.

Чего не скажешь про 3200-28. Там при аналогичной конфигурации:

Код:

enable address_binding dhcp_snoop
enable address_binding trap_log
disable address_binding arp_inspection

config address_binding ip_mac ports 1-24 state enable strict allow_zeroip enable forward_dhcppkt enable mode acl stop_learning_threshold 500
config address_binding dhcp_snoop max_entry ports 1-24 limit no_limit

при прохождении через абонентский порт (с включённым IMPB strict+ACL) arp-пакета c ARP->Sender MAC = МАС-адресу шлюза, данный МАС заносится в блоклист, не смотря на включённый режим ACL для этого порта. Хотя пакеты с неизвестной парой MAC-IP вроде как должны отбрасываться без занесения в fdb и установки флага блокирования.

Как временное решение, использую CPU ACL для того, чтобы не допускать ARP-пакеты в клиентских VLAN'ах на обработку CPU:

Код:

# arp inspection workaround
# prevent MAC-address blacklisting by IMPB in customer VLAN's
enable cpu_interface_filtering
create cpu access_profile profile_id 1 packet_content_mask  offset_0-15  0x0 0x0 0x0 0xffffffff offset_16-31  0xffff0000 0x0 0x0 0x0
# VLAN 701
config cpu access_profile profile_id 1 add access_id 1 packet_content offset_0-15 0x0 0x0 0x0 0x810002BD offset_16-31 0x8060000 0x0 0x0 0x0 port 1-28 deny
# VLAN 714
config cpu access_profile profile_id 1 add access_id 1 packet_content offset_0-15 0x0 0x0 0x0 0x810002CA offset_16-31 0x8060000 0x0 0x0 0x0 port 1-28 deny
# VLAN 715
config cpu access_profile profile_id 1 add access_id 1 packet_content offset_0-15 0x0 0x0 0x0 0x810002CB offset_16-31 0x8060000 0x0 0x0 0x0 port 1-28 deny

Используемая на 3200-28 прошивка: 1.20.B011
Данное решение не рациональное, т.к. может мешать работе другому функционалу CPU, анализируещему ARP-пакеты. С другой стороны, это так же может помочь снизить нагрузку на CPU при арп-флуде...

Вернуться наверх

Ivantey

Заголовок сообщения:

Добавлено: Сб апр 03, 2010 11:06

Зарегистрирован: Пт окт 24, 2003 00:47
Сообщений: 508
Откуда: Moscow

Вроде как мне Демин говорил что режим strict и mode acl нельзя включать вместе.
У меня при включенном этом режиме некоторые клиенты немогут получить IP адресс.

_________________
D-Link User: DGS-3120-24, DGS-3324SR, DGS-3627G, DGS-3612G, DGS-3312SR, DGS-3100-24TG, DGS-3200-10, DES-3200-26, DES-3200-28, DES-3200-18, DES-3528, DES-3526, DES-3028, DES-1228, DES-2108, DES-2110, DES-3326SR, DMC-920, DMC-810.

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Сб апр 03, 2010 23:54

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Рад слышать! Нет как раз можно и в новой прошивке теперь не блокируется MAC-адрес а отсекается невалидный трафик. Я говорил про режим DHCP Snooping.

Вернуться наверх

Tweak

Заголовок сообщения:

Добавлено: Вс апр 04, 2010 03:35

Зарегистрирован: Пн май 18, 2009 22:59
Сообщений: 25

Как раз таки используем полный комплект: DHCP Relay (Global) + DHCP Snooping + IMPB (режим strict + acl). Всё работает как часы и я наконец таки доволен данными железяками.
Пример работающией у нас на DES-3028 конфигурации IMPB:

Код:

# management vlan 241
create vlan management tag 241
config vlan management add tagged 25-28
config ipif System vlan management ipaddress 192.168.241.105/24 state enable

# customer vlan 700
config vlan default delete 1-28
config vlan default advertisement disable
create vlan customer tag 700
config vlan customer add tagged 25-28
config vlan customer add untagged 1-24

# enable dhcp relay (global)
enable dhcp_relay
config dhcp_relay option_82 state enable
config dhcp_relay option_82 check enable
config dhcp_relay option_82 policy keep
config dhcp_relay add ipif System 192.168.241.1

# enable dhcp snooping
enable address_binding dhcp_snoop
enable address_binding trap_log

# enable IMPB on customer ports (1-24)
config address_binding ip_mac ports 1-24 state enable strict allow_zeroip enable forward_dhcppkt enable mode acl stop_learning_threshold 500
config address_binding dhcp_snoop max_entry ports 1-24 limit no_limit

В качестве DHCP-сервера используется ISC DHCP. Сервер слушает на двух интерфейсах. Один в управляемом VLAN'е 192.168.241.1, на который релеятся броадкаст запросы свитчами и с которого он отвечает свитчам. Второй интерфес 10.70.1.254, который доступен через маршрутизаторы всем абонентам после получения IP. Для того чтобы клиенты, после получения IP, всегда отсылали запросы юникастом на 10.70.1.254, в конфиге сервера используется:

Код:

server-identifier 10.70.1.254;

DHCP-сервер раздаёт настройки используя статичскую базу MAC-адресов, либо динамически основываясь на VLAN'е и номере порта с которого был отрелеен запрос (там где используется схема VLAN на свитч).

Вернуться наверх

Tsvetkov

Заголовок сообщения:

Добавлено: Вс апр 04, 2010 20:18

Зарегистрирован: Вс фев 08, 2004 03:18
Сообщений: 224
Откуда: Санкт-Петербург

Подскажите, что делает команда

config filter dhcp_server

и когда появится настройка в вебе?
И на каких еще свичах это будет доступно?

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Вс апр 04, 2010 23:16

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Рад слышать!

По поводу DHCP Server Screening эта функция предотвращает появление поддельных DHCP серверов на клиентских портах. Есть уже в DES-3200-XX например.

Вернуться наверх

Dyr

Заголовок сообщения:

Добавлено: Пн апр 05, 2010 14:48

Зарегистрирован: Пн сен 18, 2006 11:17
Сообщений: 270
Откуда: SPb

Demin Ivan писал(а):

По поводу DHCP Server Screening эта функция предотвращает появление поддельных DHCP серверов на клиентских портах. Есть уже в DES-3200-XX например.

В моём DES-3200-28 с FW 1.10.B014 такой функции не вижу:

Код:

DES-3200-28:4#config
Command: config

Next possible completions:
802.1p              802.1x              access_profile      account
address_binding     admin               arp_aging
arp_spoofing_prevention                 arpentry            authen
authen_enable       authen_login        autoconfig          bandwidth_control
bpdu_tunnel         command_history     command_prompt      cos
cpu                 dhcp_local_relay    dhcp_relay          dos_prevention
dot1v_protocol_group                    dscp_mapping        dst
fdb                 firmware            flow_meter          gratuitous_arp
greeting_message    gvrp                igmp                igmp_snooping
ipif                ipv6                lacp_ports
limited_multicast_addr                  link_aggregation    lldp
log_save_timing     loopdetect          mac_based_access_control
mac_based_access_control_local          mac_notification    max_mcast_group
mcast_filter_profile                    mirror              mld_snooping
multicast           multicast_fdb       port                port_security
ports               qinq                radius              router_ports
router_ports_forbidden                  safeguard_engine    scheduling
scheduling_mechanism                    serial_port         sim
sim_group           smtp                snmp                sntp
ssh                 ssl                 stp                 syslog
terminal_line       time                time_range          time_zone
traffic             traffic_segmentation                    vlan
vlan_trunk

DES-3200-28:4#show firmware information
Command: show firmware information

Image ID   : 1(Boot up firmware)
Version    : 1.10.B014
Size       : 3661372 Bytes
Update Time: 0000/00/00 00:00:00
From       : Serial Port(PROM)
User       : Unknown

Image ID   : 2(Empty)

DES-3200-28:4#

[]

Вернуться наверх

Denis Evgraphov

Заголовок сообщения:

Добавлено: Пн апр 05, 2010 14:52

Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan

Нужно использовать прошивку версии 1.21.B006, которую, как обычно, можно запросить в специально для этого предназначенной теме: http://forum.dlink.ru/viewtopic.php?t=92700

Код:

DES-3200-28:4#config filter dhcp_server
Command: config filter dhcp_server

Next possible completions:
illegal_server_log_suppress_duration                        log
trap                add                 delete              ports

DES-3200-28:4#

Вернуться наверх

Xena

Заголовок сообщения:

Добавлено: Ср апр 14, 2010 11:28

Зарегистрирован: Пт сен 04, 2009 12:26
Сообщений: 11
Откуда: Донецк (Украина)

Тестируем DES-3200-10 прошивка 1.21В007.
Включены IMPB + DHCP Snooping, МАС сервера опять блокируется. Есть ли в указанной прошивке IMPB v3.8 ?

Вернуться наверх

Страница 2 из 3

[ Сообщений: 38 ]

На страницу Пред. 1, 2, 3 След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 30

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения