Перейти до

ARP флуд в сети после включения неавторизированного DHCP-сервера


Рекомендованные сообщения

Имеется комутатор extreme summit 200-24, все в дефолтном ВЛАН, на нем два подгоревших порта но на его работе это не сказывается (сижу через него несколько дней - странностей не обнаружил).

Для блокировки неавторизированных DHCP-серверов созданы следующие правила acl:



# create access-mask dhcp_deny_msk ip-protocol source-L4port precedence 1000
# create access-list dhcp_deny_lst access-mask dhcp_deny_msk ip-protocol udp source-L4port 67 deny

# create access-mask dhcp_prmt_msk ip-protocol source-ip / 32 source-L4port precedence 100
# create access-list dhcp_prmt_lst access-mask dhcp_prmt_msk ip-protocol udp source-ip 172.16.0.1/32 source-L4port 67 permit

В качестве неавторизированного DHCP выступает TP-link wr-740n. При подключении роутера, где то через 1-2 минуты, в мониторинге (dude), узлы отключаются (сами абоны работают), общая скорость загрузки значительно падает, скорость между многими узлами не отображается. На компе, включенном в даный комутатор, tcpdump показывает много такого:



14:03:54.430600 ARP, Request who-has 192.168.0.1 tell 192.168.0.1, length 46
14:03:54.430605 ARP, Request who-has 192.168.0.1 tell 192.168.0.1, length 46
14:03:54.430607 ARP, Request who-has 192.168.0.1 tell 192.168.0.1, length 46
14:03:54.430610 ARP, Request who-has 192.168.0.1 tell 192.168.0.1, length 46
14:03:54.430613 ARP, Request who-has 192.168.0.1 tell 192.168.0.1, length 46

Прошивка (на 7.7 было еще хуже):



# show version 

System Serial Number:  800105-00-05 0332G-00368   CP:02
Image : Extremeware  Version 7.8e.4.1 [non-ssh] by Build_Master on 03/18/11 04:11:31

BootROM : 5.1

Собственно, почему так?

Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

"Снесло" крышу у Тп-Линка. Так бывает, когда WAN с LAN-ом перепутали.

Лан порт был подключен умышленно, в целях эксперемента. Выходит, что любой абонент ошибочно включивший так свой роутер положит всю сеть. 

Відредаговано _seth_
Ссылка на сообщение
Поделиться на других сайтах

 

"Снесло" крышу у Тп-Линка. Так бывает, когда WAN с LAN-ом перепутали.

Лан порт был подключен умышленно, в целях эксперемента. Выходит, что любой абонент ошибочно включивший так свой роутер положит всю сеть.

 

Нет, просто ваши ACL по подавлению левых dhcp-серверов написаны неверно.
Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

 

 

"Снесло" крышу у Тп-Линка. Так бывает, когда WAN с LAN-ом перепутали.

Лан порт был подключен умышленно, в целях эксперемента. Выходит, что любой абонент ошибочно включивший так свой роутер положит всю сеть.

 

Нет, просто ваши ACL по подавлению левых dhcp-серверов написаны неверно.

 

Так, а что неверно? Приоритеты? Как я понял, схема подобна iptables: если пакет подпадает под правило - пропускаем, если нет - идет дальше по правилам и отбрасывается.

 

 

 

 

Вот ваша проблема:

 

 

 

 

все в дефолтном ВЛАН,

 

 

Предоставить каждому абоненту свой ВЛАН нет технической возможности. Смысла "запирать" флуд в "ВЛАН - на узел" не вижу, уж лучше пусть там роутер гадит, всяко лучше флуда, я так думаю.

P.S. Доступ по pppoe, локальная сеть не поддерживается.

Відредаговано _seth_
Ссылка на сообщение
Поделиться на других сайтах

 

 

 

"Снесло" крышу у Тп-Линка. Так бывает, когда WAN с LAN-ом перепутали.

Лан порт был подключен умышленно, в целях эксперемента. Выходит, что любой абонент ошибочно включивший так свой роутер положит всю сеть.

 

Нет, просто ваши ACL по подавлению левых dhcp-серверов написаны неверно.

 

Так, а что неверно? Приоритеты? Как я понял, схема подобна iptables: если пакет подпадает под правило - пропускаем, если нет - идет дальше по правилам и отбрасывается.

 

Неверно вообще построение. Я на саммитах 200ых acl делал через веб-морду, там он не так просто создается.

Нужно создать фильтр на 67 порт как вы сделали, а потом повесить его как egress на нужные порты - у вас он не используется.

Ссылка на сообщение
Поделиться на других сайтах

Предоставить каждому абоненту свой ВЛАН нет технической возможности. Смысла "запирать" флуд в "ВЛАН - на узел" не вижу, уж лучше пусть там роутер гадит, всяко лучше флуда, я так думаю.

Т.е., лучше флуд на всю сеть чем флуд на отдельном узле???
Ссылка на сообщение
Поделиться на других сайтах

 

 

 

 

"Снесло" крышу у Тп-Линка. Так бывает, когда WAN с LAN-ом перепутали.

Лан порт был подключен умышленно, в целях эксперемента. Выходит, что любой абонент ошибочно включивший так свой роутер положит всю сеть.

 

Нет, просто ваши ACL по подавлению левых dhcp-серверов написаны неверно.

 

Так, а что неверно? Приоритеты? Как я понял, схема подобна iptables: если пакет подпадает под правило - пропускаем, если нет - идет дальше по правилам и отбрасывается.

 

Неверно вообще построение. Я на саммитах 200ых acl делал через веб-морду, там он не так просто создается.

Нужно создать фильтр на 67 порт как вы сделали, а потом повесить его как egress на нужные порты - у вас он не используется.

 

Благодарю за наводку, сегодня постараюсь сегодня потестить.

 

Предоставить каждому абоненту свой ВЛАН нет технической возможности. Смысла "запирать" флуд в "ВЛАН - на узел" не вижу, уж лучше пусть там роутер гадит, всяко лучше флуда, я так думаю.

Т.е., лучше флуд на всю сеть чем флуд на отдельном узле???

 

Нет. Лучше пусть роутер рассылает левый адрес шлюза на узле чем флуд на всю сеть.

Ссылка на сообщение
Поделиться на других сайтах

Нет. Лучше пусть роутер рассылает левый адрес шлюза на узле чем флуд на всю сеть.

Если у вас вся сеть помойкой сделана - то один глюкавсй роутер либо сетевуха у абона вам всю ее и положат. Чего вы хотите добиться-то? :)
Ссылка на сообщение
Поделиться на других сайтах
  • 2 years later...
tcpdump показывает много такого: 14:03:54.430600 ARP, Request who-has 192.168.0.1 tell 192.168.0.1, length 46 14:03:54.430605 ARP, Request who-has 192.168.0.1 tell 192.168.0.1, length 46 14:03:54.430607 ARP, Request who-has 192.168.0.1 tell 192.168.0.1, length 46 14:03:54.430610 ARP, Request who-has 192.168.0.1 tell 192.168.0.1, length 46 14:03:54.430613 ARP, Request who-has 192.168.0.1 tell 192.168.0.1, length 46

 

 

Було также з ARP

дав на олт влан, влан аксесом причепив до epon

Switch_config_epon0/1#no epon inner-onu-switch - ізоляція онушок на дереві/

Switch_config_epon0/1#switchport protected ізоляція дерев.

 

у 8 ранку сьогодні зробив, поки політ нормальний 11:40 зараз))

Відредаговано mgo
Ссылка на сообщение
Поделиться на других сайтах

>14:03:54.430600 ARP, Request who-has 192.168.0.1 tell 192.168.0.1, length 46

 

це означає що у вас на порту дозволені статичні адреси, або сторонні dhcp сервери

я не знаю як заборонити/відключити на extrem, але впевнений що це можливо

зробить це і пропаде не потрібний arp-флуд

те що у вас все в дефолті нічого страшного, аби залізо робоче було, а не з "битими" портами

Ссылка на сообщение
Поделиться на других сайтах
Археологи, за 3 года человек вероятно решил проблему.

молодець він

я тільки сьогодні. 

толком нічо негуглилося.

Відредаговано mgo
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...