Перейти до

А что ты нарезаешь на L2 %username% ?)


Рекомендованные сообщения

В который раз стучусь за советом к уважаемой публике, надеюсь найти у вас поддержку, понимание и дельные советы. Троллинг - нихт, пожалуйста)

 

Вся сеть у нас построена на L2 в основном DES-3200-26C1, местами Alcatel LS6224.

Периодически, раз пол-года, год возникает ушлый юзер который подхватывает вирусню и валит пакетами(под 100 000) в неизвестном направлении. Из-за чего ложится часть сегмента сети.

 

Подскажите, есть ли какие-то "must have" acl ограничения на L2 свичах(по количеству и типам пакетов) которые вы применяете дабы обезопасить себя от такой грусти? Чтобы в итоге вся сеть оставалась нормально функционирующей, а у флудящего абонента ложился канал.

 

Спасибо!

Ссылка на сообщение
Поделиться на других сайтах

Мене врятувало port isolation на свічах.

Трафік між портів заборонений, і абони сразу йдуть на НАС, а НАСу пофігу на такі пакети (FreeBSD).

Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

Мене врятувало port isolation на свічах.

Трафік між портів заборонений, і абони сразу йдуть на НАС, а НАСу пофігу на такі пакети (FreeBSD).

Это есть. У Длинка traffic segmentation называется.

Но все равно ложится все что в одном влане.

Еще какие-то советы у сообщества есть?

Відредаговано alsdfg
Ссылка на сообщение
Поделиться на других сайтах

Ставите nfsen сливаете sflow, ставите плагин ddd и крутите как хотите, как только будет аномалия вы сможете её отследить.

zabbix и хитрые правила по коммутатором с мониторингом pps, вариантов в общем безумное кол.

Ссылка на сообщение
Поделиться на других сайтах

1 влан на всех + порт изолейшн - тоже всё ок.

После включение порт изолейшн что нету обмена меж пользователями - эффект как влан на пользователя, только конфиг у свича типовый и не нужен аннамберед.

Ссылка на сообщение
Поделиться на других сайтах

У алкателей тоже есть порт изолейшен только изолирует все 100м потры между собой, а аплинки 1г порты не изолирует завется оно enable# switchport protected-port в интерфейсе тоже крутится.
Если использовать везде порт изолейшен важно строить его так чтоб трафик можг ходить только в низ к серверам и агригацию тоже надо изолировать .

Ссылка на сообщение
Поделиться на других сайтах

ищите Unknown unicast траффик от Ваших клиентов которые приобрели замечательные роутеры TENDA. Временное решение до перепрошивки или замены абоном роутера - 3 Мбит/с на порту.

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від YuriyH
      Продам комутатор Edge-core ECS4100-28T (L2, 24x10/100/1000Base-T, 4x1G SFP)  , новий 
      Ціна 8000 грн з ПДВ , безготівка
      Є в наявності 2шт.
    • Від malenkuy
      Комутатори керовані HUAWEI S2326TP-EI
      В наявності 200шт.
      Ціна 1700грн/шт
      Всі перевірені, без битих портів, в дефолті!
      Кріплення в стійку і кабель живлення в комплекті!

      Відправка по всій Україні! (Нова пошта, Укрпошта, Делівері).

      Спосіб оплати: Перерахунок на ФОП, картка приватбанк або монобанк, оплата при отримані!

       





    • Від scaran
      Обращаюсь за помощью к коллективному разуму.
      Попалась сеть в условное обслуживание. В ней есть проблема в рандомный период времени - не важно  хоть в час пик, хоть ночью, хоть раз неделю, но может и  пару раз за день происходит следюущие: перестают быть доступны все шлюзы абонентов с реальными IP (соответсвтенно и все абоненты  по всех 9 сетках /24). Пинги проскакивают один из 20. Тоесть недоступость почти 100%. Прекращается все если не трогать максимум за 15 минут, но бывает и за минут 5 попустит. Ну или лечится ребутом одного агрегационного узла на 48 даунлинков (extreme x450a-24x, soft 15.3.5.2 patch1-12 + dgs-3120-24sc прошивка последняя). Все менеджмент сетки при этом живут (шлюзы менеджмента на другом сервере висят и  естественно в каждая в разных вланах). Бывает помогает потушить один из домов оптического свитча и шлюзы отпускает, но иногда тушение одного порта помогает, иногда другой, конкретно грешить на какой-то дом не могу. С этого агрегационного узла все даунлинки только на управляемые домовые свитчи, тупых линков нет, медных колбас тоже. Всего в сети 9 агрегационных узлов с 20-30 даунлинками в сторону домов. Все агрегационные узлы стекаются в ящик extreme bd 8810, с него линк на фрибсд сервак где и висят все шлюзы для абонентов. Схема чистая звезда, петли на аплинках исключены.
      Суммарно по сети примерно 150 управляемых коммутаторов, тупых линков  в виде медик+тупарь штук 30-40 (в основном где по 1-2 абонента, в дальнейшем и эти  точки заменятся на управляемые).
      На каждом агрегационном узле своя менеджмент сеть /24 и свой абонская сеть тоже /24 с реальниками. Адреса все статикой. Тоесть суммарно 9 менеджмент подсетей и 9 подсетей абонских  (конечно же разбито все на 9 вланов все и в менеджменте и отдельными 9 вланов в абонских сетках)
      Схема набросками следующая:


      Оптические коммутаторы на агрегациях следующие:
      Extreme x450a-24x, Dlink DGS-3120-24sc, Edge-Core ES4612, Dlink DGS-3612G, TP-Link TL-SG5412F
      Коммутаторы на домах таких моделей:
      Extreme summit x150, x250, x350, x450, 200-24, 200-48
      Dlink DES-3200-10/28
      Cisco WS-C2960-24TC-L, 8TC-L, WS-C2950, WS-C2940, WS-C3560/3750
      Huawei S2326TP-EI/S2309
      TP-Link TL-SL2210WEB
      В % соотношениях: экстримов 75%, хуавеев 10%, длинки 10%, циски 5%

      На всех экстримах  и длинках включен dos-protect. На всех свитчах включены шторм контроли, бродкаст/мультикаст контроли с огричением в 5% от пропускной спосбности порта, джамбофреймы везде отключены. dhcp snooping включены везде. loopdetect на всех абонских поратх включены. IGMP snooping тоже везде включен, но по нему я заметил, что когда на аксес свитчах чекаю igmp snooping querier , то querier-ом как правило выступают абоны, а это я так понимаю не есть хорошо и квериером должен быть онли шлюз. но вряд ли это ложит шлюзы. В логах свичтей и на графиках я не вижу ни всирания цпу ничего. Но заметил странную тенденцию - на аксес свитчах в момент начала вот такого флуда даунятся как правило линки на конце которых висят,  опростят меня боги - наши "любимые" тенды. Проблема не в них - я ради инетереса тушил вообще все порты с тендами (их суммарно по сети не более полутора десятка, флуд все равно происходил).
      Единственное что на свитчах не настроено это защита arp spoofing. Похоже ли это на бомбежку арпами от которых шлюзы с ума сходят? Понятно что правильнее будет зеркалить трафик на ящике  BD 8810 c порта уходящего на сервак freebsd с шлюзами абонентов (я так и планирую делать), но пока едет сборка на х99 китайце под тазик, то приходится только догадки догадывать. Ах да,  доступа на сервак с фрибсд у меня отсутствует, потому зайти на него и глянуть что у него в логах я не могу. Куда еще можно покопать?, у кого может мысля проявится, может что на аксесах подонастраивать, но я уже не представляю что.
    • Від Pastor911
      Продам свитчи L2 FiberHome s4800 и s4820 2000 грн.шт
      В комплекте шнуры и уши

    • Від forella
      Куплю бу dlink des 1210-52ME, именно ME и именно des, другие модели не интерисуют. желательно с оплатой по безналу.
      Либо кто-то может посоветует похожие комутаторы других вендоров. Главное: глубина комутатора как у вышеуказаного до 21-23см, без вентиляторов, на 48 абонентских портов (100мбит) и ОБЯЗАТЕЛЬНО поддержка option82.
×
×
  • Створити нове...