1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Сб авг 02, 2025 09:05

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 11 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
Dozz
СообщениеДобавлено: Вс сен 14, 2008 14:12 
Не в сети

Зарегистрирован: Ср мар 19, 2008 16:59
Сообщений: 27
Откуда: Киев
Имеется домашняя сеть со связкой DES-3526 (S/W: 5.01-B09) в центре и сегментами на DES-1024D на доступ юзеров.
В последнее время начались проблеммы с флудом (скорее всего причиной являются вирусы).

Можно ли определить источник флуда (МАК или хотя бы порт) проще, чем включая поочередное зеркалирование портов DES-3526 и пропуская трафик с них через сниффер? Тем более, что во время атаки управляемые коммутаторы перестают отвечать удаленно, и в крайнем случае необходимо подключаться к свичам через консоль.

Логи коммутатора в этом плане абсолютно неинформативны:
Код:
2008/09/13 15:26:06   SafeGuard Engine enters NORMAL mode
008/09/13 15:25:41   SafeGuard Engine enters EXHAUSTED mode

или (после включения Traffic Control и Traffic Storm Control Trap: both)
Код:
2008/09/14 12:08:11   Port 2 link up, 100Mbps FULL duplex
2008/09/14 12:08:09   Port 2 link down


Может есть какие-то рекомендации по поводу защиты сети от подобных проблемм средствами DES-3526 кроме Traffic control и SafeGuard?
Вернуться наверх
 Профиль  
 
KabaH
 Заголовок сообщения:
СообщениеДобавлено: Вс сен 14, 2008 19:57 
Не в сети

Зарегистрирован: Пт фев 23, 2007 00:08
Сообщений: 253
У вас что, юзера и упраляющий VLAN в куче ?
Вернуться наверх
 Профиль  
 
terrible
 Заголовок сообщения:
СообщениеДобавлено: Вс сен 14, 2008 21:48 
Не в сети

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default
KabaH походу да
Dozz флуд какого типа вы наблюдаете?
Вернуться наверх
 Профиль  
 
Dozz
 Заголовок сообщения:
СообщениеДобавлено: Вт сен 16, 2008 01:10 
Не в сети

Зарегистрирован: Ср мар 19, 2008 16:59
Сообщений: 27
Откуда: Киев
terrible писал(а):
KabaH походу да
Dozz флуд какого типа вы наблюдаете?

VLAN-ы не настраивали, поэтому пока все в куче. Поднятие VLAN-ов облегчит проблему в подобных ситуациях?

флуд - в основном броадкаст.
Вернуться наверх
 Профиль  
 
KabaH
 Заголовок сообщения:
СообщениеДобавлено: Вт сен 16, 2008 09:23 
Не в сети

Зарегистрирован: Пт фев 23, 2007 00:08
Сообщений: 253
В управляющий VLAN лучше юзеров не садить, тогда бродкаст флуд от юзеров не будет попадать на процессор управляющий свичем и свич будет хоть както доступен удаленно. Кроме того этого также не следует делать исходя из соображений безопасности (продвинутые юзера могут отсниферить пароли и получить доступ к свичу).

От бродкаст флуда на 100Мбитных портах должно помочь:

config traffic control 1-3 broadcast enable action drop threshold N

где N максимально допустимое число бродкастов в секунду.
Вернуться наверх
 Профиль  
 
Daniil-B
 Заголовок сообщения:
СообщениеДобавлено: Вт сен 16, 2008 09:56 
Не в сети

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"
Цитата:
config traffic control 1-3 broadcast enable action drop threshold N

Верно.
Но стоит учитывать, что данное правило гасит и arp и ip broadcast ...
Если у вас есть желание полностью заглушить IP broadcast, то вполне подойдёт правило:
Код:
create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type profile_id 2
config access_profile profile_id 2 add access_id auto_assign ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x800 port 1-26 deny

Если мучает виндовая самба, то пишем:
Код:
# ports destination 135 137 138 139 445 520 1900 161
# ---------------------------------------------------------------------------------
create access_profile packet_content_mask offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 3
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x00870000 0x0 port 1-26 deny
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x00890000 0x0 port 1-26 deny
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x008A0000 0x0 port 1-26 deny
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x008B0000 0x0 port 1-26 deny
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x01BD0000 0x0 port 1-26 deny
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x02080000 0x0 port 1-26 deny
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x076C0000 0x0 port 1-26 deny
config access_profile profile_id 3 add access_id auto_assign packet_content_mask offset_32-47 0x0 0x0 0x00A10000 0x0 port 1-25 deny

Протокол явно не указан, так что резать будет и tcp и udp пакеты.

Так же можно поднять port_security на клиентских портах,
И включить на всех портах, кроме канального loopdetect
Код:
enable loopdetect
config loopdetect ports 1-25 state enabled


Да ... и прошивку поменять .... ибо устарела безбожно ...
Вернуться наверх
 Профиль  
 
Dozz
 Заголовок сообщения:
СообщениеДобавлено: Вт сен 16, 2008 12:24 
Не в сети

Зарегистрирован: Ср мар 19, 2008 16:59
Сообщений: 27
Откуда: Киев
Спасибо большое за советы по защите локальной сети. Некоторые из них уже были использованы (к примеру тот же Traffic Control). Другие будем брать на вооружение (управляющий VLAN).

Но основной вопрос остался неразрешен. Именно - можно ли с минимальными усилиями определить ИСТОЧНИК флуда, чтобы отключить его правилами ACL или хотя бы сократить диапазон поиска до одного сегмента (порта DES-3526).
Вернуться наверх
 Профиль  
 
secandr
 Заголовок сообщения:
СообщениеДобавлено: Вт сен 16, 2008 13:05 
Не в сети

Зарегистрирован: Ср фев 01, 2006 10:11
Сообщений: 429
Откуда: Волгоград
кто вам мешает снимать статистику по порам на коммутаторах по snmp? Снимайте multicast, broadcast и unicast загрузку. По графикам будет чётко видно...

_________________
DES 3526 - флагман DLINKостроения
Вернуться наверх
 Профиль  
 
Bigarov Ruslan
 Заголовок сообщения:
СообщениеДобавлено: Вт сен 16, 2008 13:17 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
2 Dozz > В DES-3526 есть много инструментов(функций) по защите сети от разного флуда, от части флуда можно сразу защититься используя: Management VLAN, Trusted Host, Traffic Control, IMPB и ACL, а остальное зависит от типа флудящего трафика.

_________________
С уважением,
Бигаров Руслан.
Вернуться наверх
 Профиль  
 
4w
 Заголовок сообщения:
СообщениеДобавлено: Ср окт 01, 2008 20:58 
Не в сети

Зарегистрирован: Чт апр 24, 2008 18:57
Сообщений: 30
DES-3526
Management VLAN используется
Trusted Host - тоже
ACL - режутся 137, 138, 445 (Вроде так, аксесслисты не я писал))

Происходит нечасто, 2-3 раза в месяц на 5000+ абонентов
Картина такая:
Отваливается от управления дом, или пара коммутаторов. Приходим на объект, как, например, последний раз сегодня, видим - первый комм вяло моргает лампочками, второй в коматозе, всё светится, но на одном порте ритмично моргает светодиод активности. Абоненты звонят в техсаппорт, связи нет. По консоли он откликается, но никого не пингует
Смотрим логи -
******** SafeGuard Engine enters NORMAL mode
******** SafeGuard Engine enters EXHAUSTED mode
Время стер, но оно соответствует времени его падения
Выдергиваем абонента с моргающим диодом - и, о чудо, пинги пошли
Прошивка 5.01b18, 5.01b19, на билдах b45 не наблюдалось пока, но статистики мало
Вернуться наверх
 Профиль  
 
NoFX
 Заголовок сообщения:
СообщениеДобавлено: Ср окт 01, 2008 21:21 
Не в сети

Зарегистрирован: Ср фев 20, 2008 14:12
Сообщений: 353
у вас случайно не включен flow_control на клиентских портах?
если так то сделайте config ports all flow_control disable и все будет хорошо )
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 11 ] 

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 38

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB