ARP флуд в сети после включения неавторизированного DHCP-сервера

_seth_ · 2014-02-28 12:21:14

Имеется комутатор extreme summit 200-24, все в дефолтном ВЛАН, на нем два подгоревших порта но на его работе это не сказывается (сижу через него несколько дней - странностей не обнаружил).

Для блокировки неавторизированных DHCP-серверов созданы следующие правила acl:



# create access-mask dhcp_deny_msk ip-protocol source-L4port precedence 1000
# create access-list dhcp_deny_lst access-mask dhcp_deny_msk ip-protocol udp source-L4port 67 deny

# create access-mask dhcp_prmt_msk ip-protocol source-ip / 32 source-L4port precedence 100
# create access-list dhcp_prmt_lst access-mask dhcp_prmt_msk ip-protocol udp source-ip 172.16.0.1/32 source-L4port 67 permit

В качестве неавторизированного DHCP выступает TP-link wr-740n. При подключении роутера, где то через 1-2 минуты, в мониторинге (dude), узлы отключаются (сами абоны работают), общая скорость загрузки значительно падает, скорость между многими узлами не отображается. На компе, включенном в даный комутатор, tcpdump показывает много такого:



14:03:54.430600 ARP, Request who-has 192.168.0.1 tell 192.168.0.1, length 46
14:03:54.430605 ARP, Request who-has 192.168.0.1 tell 192.168.0.1, length 46
14:03:54.430607 ARP, Request who-has 192.168.0.1 tell 192.168.0.1, length 46
14:03:54.430610 ARP, Request who-has 192.168.0.1 tell 192.168.0.1, length 46
14:03:54.430613 ARP, Request who-has 192.168.0.1 tell 192.168.0.1, length 46

Прошивка (на 7.7 было еще хуже):



# show version 

System Serial Number:  800105-00-05 0332G-00368   CP:02
Image : Extremeware  Version 7.8e.4.1 [non-ssh] by Build_Master on 03/18/11 04:11:31

BootROM : 5.1

Собственно, почему так?

loki · 2014-02-28 14:03:16

"Снесло" крышу у Тп-Линка. Так бывает, когда WAN с LAN-ом перепутали.

_seth_ · 2014-02-28 14:08:39

"Снесло" крышу у Тп-Линка. Так бывает, когда WAN с LAN-ом перепутали.

Лан порт был подключен умышленно, в целях эксперемента. Выходит, что любой абонент ошибочно включивший так свой роутер положит всю сеть.

Edited 2014-02-28 14:09:02 by _seth_

KaYot · 2014-02-28 14:17:30

"Снесло" крышу у Тп-Линка. Так бывает, когда WAN с LAN-ом перепутали.
Лан порт был подключен умышленно, в целях эксперемента. Выходит, что любой абонент ошибочно включивший так свой роутер положит всю сеть.

Нет, просто ваши ACL по подавлению левых dhcp-серверов написаны неверно.

Tux · 2014-02-28 14:17:42

Вот ваша проблема:

все в дефолтном ВЛАН,

KaYot · 2014-02-28 14:27:58

Вот ваша проблема:

все в дефолтном ВЛАН,

а какая разница то?

_seth_ · 2014-02-28 14:29:12

"Снесло" крышу у Тп-Линка. Так бывает, когда WAN с LAN-ом перепутали.
Лан порт был подключен умышленно, в целях эксперемента. Выходит, что любой абонент ошибочно включивший так свой роутер положит всю сеть.

Нет, просто ваши ACL по подавлению левых dhcp-серверов написаны неверно.

Так, а что неверно? Приоритеты? Как я понял, схема подобна iptables: если пакет подпадает под правило - пропускаем, если нет - идет дальше по правилам и отбрасывается.

Вот ваша проблема:

все в дефолтном ВЛАН,

Предоставить каждому абоненту свой ВЛАН нет технической возможности. Смысла "запирать" флуд в "ВЛАН - на узел" не вижу, уж лучше пусть там роутер гадит, всяко лучше флуда, я так думаю.

P.S. Доступ по pppoe, локальная сеть не поддерживается.

Edited 2014-02-28 14:32:01 by _seth_

KaYot · 2014-02-28 14:36:47

"Снесло" крышу у Тп-Линка. Так бывает, когда WAN с LAN-ом перепутали.
Лан порт был подключен умышленно, в целях эксперемента. Выходит, что любой абонент ошибочно включивший так свой роутер положит всю сеть.

Нет, просто ваши ACL по подавлению левых dhcp-серверов написаны неверно.

Так, а что неверно? Приоритеты? Как я понял, схема подобна iptables: если пакет подпадает под правило - пропускаем, если нет - идет дальше по правилам и отбрасывается.

Неверно вообще построение. Я на саммитах 200ых acl делал через веб-морду, там он не так просто создается.

Нужно создать фильтр на 67 порт как вы сделали, а потом повесить его как egress на нужные порты - у вас он не используется.

NiTr0 · 2014-02-28 15:03:05

Предоставить каждому абоненту свой ВЛАН нет технической возможности. Смысла "запирать" флуд в "ВЛАН - на узел" не вижу, уж лучше пусть там роутер гадит, всяко лучше флуда, я так думаю.

Т.е., лучше флуд на всю сеть чем флуд на отдельном узле???

_seth_ · 2014-02-28 15:11:25

"Снесло" крышу у Тп-Линка. Так бывает, когда WAN с LAN-ом перепутали.
Лан порт был подключен умышленно, в целях эксперемента. Выходит, что любой абонент ошибочно включивший так свой роутер положит всю сеть.

Нет, просто ваши ACL по подавлению левых dhcp-серверов написаны неверно.

Так, а что неверно? Приоритеты? Как я понял, схема подобна iptables: если пакет подпадает под правило - пропускаем, если нет - идет дальше по правилам и отбрасывается.

Неверно вообще построение. Я на саммитах 200ых acl делал через веб-морду, там он не так просто создается.
Нужно создать фильтр на 67 порт как вы сделали, а потом повесить его как egress на нужные порты - у вас он не используется.

Благодарю за наводку, сегодня постараюсь сегодня потестить.

Предоставить каждому абоненту свой ВЛАН нет технической возможности. Смысла "запирать" флуд в "ВЛАН - на узел" не вижу, уж лучше пусть там роутер гадит, всяко лучше флуда, я так думаю.
Т.е., лучше флуд на всю сеть чем флуд на отдельном узле???

Нет. Лучше пусть роутер рассылает левый адрес шлюза на узле чем флуд на всю сеть.

NiTr0 · 2014-02-28 20:05:40

Нет. Лучше пусть роутер рассылает левый адрес шлюза на узле чем флуд на всю сеть.

Если у вас вся сеть помойкой сделана - то один глюкавсй роутер либо сетевуха у абона вам всю ее и положат. Чего вы хотите добиться-то?

mgo · 2017-01-18 09:41:53

tcpdump показывает много такого: 14:03:54.430600 ARP, Request who-has 192.168.0.1 tell 192.168.0.1, length 46 14:03:54.430605 ARP, Request who-has 192.168.0.1 tell 192.168.0.1, length 46 14:03:54.430607 ARP, Request who-has 192.168.0.1 tell 192.168.0.1, length 46 14:03:54.430610 ARP, Request who-has 192.168.0.1 tell 192.168.0.1, length 46 14:03:54.430613 ARP, Request who-has 192.168.0.1 tell 192.168.0.1, length 46

Було также з ARP

дав на олт влан, влан аксесом причепив до epon

Switch_config_epon0/1#no epon inner-onu-switch - ізоляція онушок на дереві/

Switch_config_epon0/1#switchport protected ізоляція дерев.

у 8 ранку сьогодні зробив, поки політ нормальний 11:40 зараз))

Edited 2017-01-18 09:44:45 by mgo

xnet.com.ua · 2017-01-18 16:38:31

>14:03:54.430600 ARP, Request who-has 192.168.0.1 tell 192.168.0.1, length 46

це означає що у вас на порту дозволені статичні адреси, або сторонні dhcp сервери

я не знаю як заборонити/відключити на extrem, але впевнений що це можливо

зробить це і пропаде не потрібний arp-флуд

те що у вас все в дефолті нічого страшного, аби залізо робоче було, а не з "битими" портами

KaYot · 2017-01-18 17:14:24

Археологи, за 3 года человек вероятно решил проблему.

mgo · 2017-01-18 20:56:58

Археологи, за 3 года человек вероятно решил проблему.

молодець він

я тільки сьогодні.

толком нічо негуглилося.

Edited 2017-01-18 20:57:21 by mgo

Sign In

ARP флуд в сети после включения неавторизированного DHCP-сервера

Recommended Posts

_seth_ 2

Link to post

Share on other sites

loki 86

Link to post

Share on other sites

_seth_ 2

Link to post

Share on other sites

KaYot 3,732

Link to post

Share on other sites

Tux 24

Link to post

Share on other sites

KaYot 3,732

Link to post

Share on other sites

_seth_ 2

Link to post

Share on other sites

KaYot 3,732

Link to post

Share on other sites

NiTr0 585

Link to post

Share on other sites

_seth_ 2

Link to post

Share on other sites

NiTr0 585

Link to post

Share on other sites

mgo 20

Link to post

Share on other sites

xnet.com.ua 20

Link to post

Share on other sites

KaYot 3,732

Link to post

Share on other sites

mgo 20

Link to post

Share on other sites

Create an account or sign in to comment

Create an account

Sign in

Recently Browsing 0 members