Прошивка 5.010-B19 (пробовал B22)

Свитч сброшен в дефолт, настроены только VLANы
Cторонних ACL, кроме IPMB нет.
Кусочек конфига
config address_binding ip_mac ports 6 state enable
config address_binding ip_mac ports 6 forward_dhcppkt disable
enable address_binding acl_mode
enable address_binding trap_log
disable address_binding dhcp_snoop
create address_binding ip_mac ipaddress xxx.xxx.113.37 mac_address 00-0D-28-DC-CC-25 ports 6 mode acl

На порту 6 висит некорректно настроенная Сisco с включенным видимо ARP Proxy

Что показывает сниффер: (включился ноутом через 10Мбитный хаб на аплинке)


Packet 169: 00:0C:DB:B6:9A:00 -> broadcast
Network: Ethernet, Frame type: ETHERTYPE
Frame network size: 64 (including 4 bytes CRC)
Time: Apr 11, 2008 11h:06m:52.923 120s
Differential time: 0.235 959 (since previous packet)
Destination Address: FF:FF:FF:FF:FF:FF
Source Address: 00:0C:DB:B6:9A:00
Protocol: [0x0806]=ARP
ARP REQUEST
Hardware Type: [1] = Ethernet (10Mb)
Protocol type: [0x0800] = IP
Hardware Address Length: 6
Protocol Address Length: 4
ARP Operation: [1] = Request
Source Hardware address: 00:0C:DB:B6:9A:00
Source protocol address: xxx.xxx.113.1
Destination Hardware address: 00:00:00:00:00:00
Destination protocol address: xxx.xxx.113.5
---------------------------------------------------------------

Packet 170: 00:0D:28:DC:CC:25 -> 00:0C:DB:B6:9A:00
Network: Ethernet, Frame type: ETHERTYPE
Frame network size: 64 (including 4 bytes CRC)
Time: Apr 11, 2008 11h:06m:52.923 833s
Differential time: 0.000 712 (since previous packet)
Destination Address: 00:0C:DB:B6:9A:00
Source Address: 00:0D:28:DC:CC:25
Protocol: [0x0806]=ARP
ARP REPLY
Hardware Type: [1] = Ethernet (10Mb)
Protocol type: [0x0800] = IP
Hardware Address Length: 6
Protocol Address Length: 4
ARP Operation: [2] = Reply
Source Hardware address: 00:0D:28:DC:CC:25
Source protocol address: xxx.xxx.113.5
Destination Hardware address: 00:0C:DB:B6:9A:00
Destination protocol address: xxx.xxx.113.1
---------------------------------------------------------------

IPMB молчит, ничего не блокирует.. Cisco отвечает за всех своим маком в сегменте, сетка лагает.

Вопрос - что я делаю не так??

.

В общем все плохо. IPMB т.к. толком не работает!!!

Пришлось написать все через packet_filtering

Первое правило разрешает только от клиента только корректные ARP ответы и запросы
create access_profile packet_content_mask offset_16-31 0xffff0000 0x0 0x0 0x0 offset_32-47 0xffffffff 0x0 0x0 0x0 profile_id 4
config access_profile profile_id 1 add access_id 1 packet_content_mask offset_16-31 0x08060000 0x0 0x0 0x0 offset_32-47 0xc0a80101 0x0 0x0 0x0 port 1 permit

Второе правило разрешает IP протокол с корректным адресом источника
create access_profile packet_content_mask offset_16-31 0xffff0000 0x0 0x0 0x0000ffff offset_32-47 0xffff0000 0x0 0x0 0x0 profile_id 5
config access_profile profile_id 5 add access_id 2 packet_content_mask offset_16-31 0x08000000 0x0 0x0 0x0000c0a8 offset_32-47 0x01010000 0x0 0x0 0x0 port 1 permit

где c0a80101 - IP в шестадцатеричном виде

Запретить все остальное
create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 9
config access_profile profile_id 9 add access_id 1 ethernet source_mac 00-00-00-00-00-00 port 1 deny

Счас думаю как бы это все по SNMP назначать.. Может кто уже решил вопрос - подскажите пожалуйста

Я Вам описание параметров выслал. А по поводу IMP а вы пробовали на порту при настройке функции задать режим strict?

Описание параметров получил, Спасибо. По поводу strict пробовал в первую очередь - не блокирует. Так понял такой режим выставляется по умолчанию. Во всяком случае команда

DES-3526:admin#config address_binding ip_mac ports 6 state enable strict

потом отображается в конфиге просто как config address_binding ip_mac ports 6 state enable

Если ARP REPLY не блокируется это большое зло.. Можно полностью положить весь сегментик, да еще трафик чужой частично получить..


P/s По вопросу приоритезации правил IPMB с другими существующими access_profile какую нибудь бы информацию..

В этом случае для блокировки ARP Reply надо просто использовать обычные ACL Packet Content.

Смысл от функции IP-MAC-BIND в acl mode вообще тогда какой?
Можно было бы изначально, когда это все года полтора назад задумывалось ответить всем "используйте packet content filtering" и не вбухивать столько в нее времени и сил )

А так получается:

-Два профиля ACL занимает
-Совместно с другими (разрешающими) ACL профилями не уживается
- Port Security, даже в режиме "Delete on timeout" с IPMB не работает (т.е. MAC spoofing коммутатора возможен)
-Arp reply IPMB не блокирует.

Последнее имхо вообще баг.. Многие же пользуются IPMB в режиме strict и думают что от ARP Spoof хотя-бы защитит. А получается не защищает..

Перезвоните пожалуйста завтра в офис по телефону 744-00-99 доб.390 или пришлите в личку ваш телефон.

кстати, такая же проблема и на 3026 свичах, ip-mac-binding легко можно обойти. Я пробывал такую-же ф-ию в Catalyst 3560, блокирует все нормально, причем реализовано не АКЛ,а по арпу. Нужно дорабатывать эту ф-ию, т.к. она очень необходима при построении домашних сетей.
мне кажется надо фильтровать любой АРП пакет с неправильными данными,
+ фильтровать бродкастовые кадры езернет 800, т.к. они засоряют таблицу ARP,
а биндинг это не ограничивает.

К сожалению в этой серии это невозможно.

Мы проверили и с конфигурацией порта:
config address_binding ip_mac ports 6 state enable strict allow_zeroip enable forward_dhcppkt disable
проблема не подтвердилась.

_________________
С уважением,
Бигаров Руслан.

Скажите, а если включать Strict для режима ARP, то минус описанный в ФАКе не является уже таковым ?

Не является.