faq обучение настройка
Текущее время: Вт июл 29, 2025 12:43

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 30 ]  На страницу 1, 2  След.
Автор Сообщение
 Заголовок сообщения: DES-3200-28 HW C1 и dos_prevention
СообщениеДобавлено: Пн дек 24, 2012 15:27 
Не в сети

Зарегистрирован: Вт окт 16, 2007 13:49
Сообщений: 144
Добрый день!
Недавно начали замечать такую ситуацию: стоящий в голове DES-3200-28 HW C1 кладёт аплинковские порты на динамических vlan'ах (GVRP). Схема такая:

DGS-3627 -> DES-3200-28 HW C1 и от него звёздочкой либо последовательно подключены 3526,3028.
До этого стоял просто каскад 3526.
Во время обнаружения атак с помощью dos_prevention на 3200-28 почему-то пропадает аплинковский порт из динамического vlan'а и у абонентов по последующих свитчах соответственно перестаёт работать.
Помогает глобальное выключение/включение GVRP.

3200-28:
Код:
Device Type                : DES-3200-28 Fast Ethernet Switch
Boot PROM Version          : Build 4.00.002
Firmware Version           : Build 4.30.B009
Hardware Version           : C1


Логи в момент пропадания порта:
Код:
273   2012-12-24 06:17:28 INFO(6) Blat Attack is blocked from (IP: X.X.X.X Port: 26)                                   
272   2012-12-24 05:40:40 INFO(6) Blat Attack is blocked from (IP: X.X.X.X Port: 25)                                   
271   2012-12-24 05:15:28 INFO(6) Blat Attack is blocked from (IP: X.X.X.X Port: 25)                                   
270   2012-12-24 04:52:24 INFO(6) Blat Attack is blocked from (IP: X.X.X.X Port: 25)


В tcpdump'e на вышестоящем оборудовании никакой подозрительной активности по IP, засветившимся в логах, не обнаружено.
На данный момент просто выключили dos_prevention полностью, но мне кажется, что это не совсем правильный подход, вдруг функция действительно поможет при атаке.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200-28 HW C1 и dos_prevention
СообщениеДобавлено: Чт дек 27, 2012 18:17 
Не в сети

Зарегистрирован: Вт сен 26, 2006 18:25
Сообщений: 146
Сотрудники Длинка, прокомментируете эту баго-фичу?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200-28 HW C1 и dos_prevention
СообщениеДобавлено: Пт дек 28, 2012 10:08 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
1. Смотрите ситуацию на последней версии прошивки.
2. Если ситуация все еще проявляет себя - пришлите, пожалуйста, полный конфиг коммутатора и дамп трафика с аплинка в формате pcap


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200-28 HW C1 и dos_prevention
СообщениеДобавлено: Сб дек 29, 2012 08:24 
Не в сети

Зарегистрирован: Вт окт 16, 2007 13:49
Сообщений: 144
Попробуем после праздников перепрошить один из свитчей и посмотреть что будет.
Сейчас как-то не хочется экспериментировать перед праздниками.
Спасибо за информацию, с Наступающим Вас :)


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200-28 HW C1 и dos_prevention
СообщениеДобавлено: Сб дек 29, 2012 08:32 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Пожалуйста, и вас с Наступающим!


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200-28 HW C1 и dos_prevention
СообщениеДобавлено: Чт янв 10, 2013 16:58 
Не в сети

Зарегистрирован: Вт окт 16, 2007 13:49
Сообщений: 144
Добрый день!
Отправили Вам информацию на почту.
p.s. после перепрошивки проблема осталась (dos_prev выключен)


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200-28 HW C1 и dos_prevention
СообщениеДобавлено: Пт янв 11, 2013 08:10 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Я получил только конфигурационный файл, но не увидел дампа трафика. Без него невозможно понять, на что именно так реагирует коммутатор.
Также вы писали про динамические vlan - какие vlan коммутатор получает по gvrp и которые он теряет при проблеме судя по вашему описанию?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200-28 HW C1 и dos_prevention
СообщениеДобавлено: Пт янв 11, 2013 09:31 
Не в сети

Зарегистрирован: Вт окт 16, 2007 13:49
Сообщений: 144
Если нужен дамп именно во время пропадания порта на динамическом vlan'е, то мне придёться посадить человека на чердак с wireshark'ом на день, а то и на два, потому что порт отваливается не каждые 5 минут.
Если устроит дамп в обычное время, сделаем.

Так же уточню схему подключения: DGS-3612G -> DES-3200-28 (C1) -> DES-3526 -> DES3526...
На 36-ом создан vlan vlanid 4020:
Код:
#show vlan vlanid 4020   
Command: show vlan vlanid 4020

VLAN Trunk State   : Disabled
VLAN Trunk Member Ports   :

VID             : 4020       VLAN Name     : xxxxx
VLAN Type       : Static     Advertisement : Enabled
Member Ports    : 1-9,11-12           
Static Ports    : 1-9,11-12           
Current Tagged Ports  : 1-9,11-12           
Current Untagged Ports:                     
Static Tagged Ports   : 1-9,11-12           
Static Untagged Ports :                     
Forbidden Ports       :


Включено GVRP:
Код:
#show gvrp                               
Command: show gvrp

Global GVRP : Enabled

Port     PVID  GVRP      Ingress Checking  Acceptable Frame Type
-------  ----  --------  ----------------  ---------------------------
 1       1     Enabled   Disabled          All Frames                 
 2       1     Enabled   Disabled          All Frames                 
 3       1     Enabled   Disabled          All Frames                 
 4       1     Enabled   Disabled          All Frames                 
 5       1     Enabled   Disabled          All Frames                 
 6       1     Enabled   Disabled          All Frames                 
 7       1     Enabled   Disabled          All Frames                 
 8       1     Enabled   Disabled          All Frames                 
 9       1     Enabled   Disabled          All Frames                 
 10      1     Enabled   Disabled          All Frames                 
 11      1     Enabled   Disabled          All Frames                 
 12      1     Disabled  Enabled           All Frames                 

 Total Entries : 12


В описываемом случае аплинк на 36-ом в сторону 3200-28 - 2 порт. Аплинки на 3200-28 с 25 по 28 порт, причём 25-ый порт смотрит в сторону 36-го.
В какой-то момент времени на 3200-28 пропадает 25 порт (в логах тишина), соответственно дальше в vlan id 4020 всё перестаёт работать. Помогает вкл/выкл GVRP на 3200-28.
До недавнего времени вместо 3200-28 стоял DES3526 и никаких проблем с GVRP не наблюдалось. В других районах схема аналогичная с GVRP. За 36-ми могут стоять 3028 или 3200-28 (ревизии A1 и B1). В силу того, что последние сняты с производства, мы ставим 3200-28 C1, с которыми возникают такие проблемы.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200-28 HW C1 и dos_prevention
СообщениеДобавлено: Пт янв 11, 2013 12:26 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Просьба уточнить, всегда ли при пропадании динамического vlan на коммутаторе идет сообщение в лог о возможных атаках? При выключенном dos prevention проблема повторяется?
Если vlan пропал, то он не появляется до тех пор, пока не выключите/включите глобально gvrp?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200-28 HW C1 и dos_prevention
СообщениеДобавлено: Пт янв 11, 2013 14:18 
Не в сети

Зарегистрирован: Вт окт 16, 2007 13:49
Сообщений: 144
Artem Kolpakov писал(а):
Просьба уточнить, всегда ли при пропадании динамического vlan на коммутаторе идет сообщение в лог о возможных атаках? При выключенном dos prevention проблема повторяется?
Если vlan пропал, то он не появляется до тех пор, пока не выключите/включите глобально gvrp?


Ну полностью vlan никогда не пропадал, пропадал только аплинковский порт (25). Когда первые разы столкнулись с этим, мы заметили в логах сообщения об атаках. После этого выключили dos_prev полностью и до сих пор не включали. При этом пропадание порта периодически происходит, т.е. проблема актуально.
Появление порта обратно без передёргивания gvrp не доводилось наблюдать.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200-28 HW C1 и dos_prevention
СообщениеДобавлено: Пт янв 11, 2013 14:31 
Не в сети

Зарегистрирован: Ср дек 12, 2007 16:10
Сообщений: 32
Откуда: Stp
Artem Kolpakov писал(а):
Просьба уточнить, всегда ли при пропадании динамического vlan на коммутаторе идет сообщение в лог о возможных атаках? При выключенном dos prevention проблема повторяется?
Если vlan пропал, то он не появляется до тех пор, пока не выключите/включите глобально gvrp?


Ещё раз: vlan остается, в нём (vlan) пропадает аплинковский (приходящий) порт № 25:

Код:
                          Firmware: Build 4.34.B004
           Copyright(C) 2012 D-Link Corporation. All rights reserved.
UserName:**********
PassWord:**********

DES-3200-28:admin#show vlan vlanid 4020
Command: show vlan vlanid 4020


VID             : 4020            VLAN Name     : VLAN4020
VLAN Type       : Static          Advertisement : Enabled
Member Ports    : 22,26-28         
Static Ports    : 22                 
Current Tagged Ports  : 26-28           
Current Untagged Ports: 22                 
Static Tagged Ports   :                     
Static Untagged Ports : 22                 
Forbidden Ports       :                     

 Total Entries : 1


А хотелось бы так:

Код:
Current Tagged Ports  : 25-28     


К этому же 3612G подключено 11 домов, в 10 домах свичи 3526, там всё нормально, в 11-м доме поменяли 3526 на 3200-28С1, после чего началась эта проблема.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200-28 HW C1 и dos_prevention
СообщениеДобавлено: Пт янв 11, 2013 15:34 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Если vlan у вас и так присутствует на коммутаторе (VLAN Type: Static ), то в чем проблема прописать 25й порт статически?
Можете привести вывод show vlan vlanid 4020 в момент нормальной работы и прислать дополнительно конфигурационные файлы DGS-3612 и стоящего ниже по цепочке коммутатора?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200-28 HW C1 и dos_prevention
СообщениеДобавлено: Пт янв 11, 2013 15:56 
Не в сети

Зарегистрирован: Чт сен 28, 2006 12:07
Сообщений: 220
Откуда: Москва
Artem Kolpakov писал(а):
Если vlan у вас и так присутствует на коммутаторе (VLAN Type: Static ), то в чем проблема прописать 25й порт статически?

А в чём проблема делать так, чтоб с изменением ревизии, принцип работы не менялся?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200-28 HW C1 и dos_prevention
СообщениеДобавлено: Пт янв 11, 2013 16:10 
Не в сети

Зарегистрирован: Вт окт 16, 2007 13:49
Сообщений: 144
Artem Kolpakov писал(а):
Если vlan у вас и так присутствует на коммутаторе (VLAN Type: Static ), то в чем проблема прописать 25й порт статически?
Можете привести вывод show vlan vlanid 4020 в момент нормальной работы и прислать дополнительно конфигурационные файлы DGS-3612 и стоящего ниже по цепочке коммутатора?


VLAN 4020 там STATIC только потому, что там в 22-ом порту клиент , а аплинковские порты как раз динамические.

Код:
#show vlan vlanid 4020
Command: show vlan vlanid 4020


VID             : 4020            VLAN Name     : VLAN4020
VLAN Type       : Static          Advertisement : Enabled
Member Ports    : 22,25-28           
Static Ports    : 22
Current Tagged Ports  : 25-28               
Current Untagged Ports: 22                 
Static Tagged Ports   :
Static Untagged Ports : 22                 
Forbidden Ports       :                     

 Total Entries : 1


Конфиги отправил.

p.s. а в чём проблема выпускать новую ревизию так, чтобы работало нормально как на предыдущей ?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DES-3200-28 HW C1 и dos_prevention
СообщениеДобавлено: Пн янв 14, 2013 10:11 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Вт янв 18, 2011 13:29
Сообщений: 8999
Конфиги получил.
Первая вам рекомендация - обновить прошивку на DES-3526 до 6.00.B60, потому что относительно установленной у вас 6.00.В36 было несколько фиксов касательно GVRP. Добавьте на DES-3526 аплинк в vlan 4020.
Я соберу стенд и отпишу по результатам наблюдений. С вашей стороны буду ждать отзывов по работе в связке с DES-3526с fw 6.00.B60.
Спасибо.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 30 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 44


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB