Jump to content

Настройка Huawei S2309TP-EI (базовий захист від шторму і флуду)

ppv

By ppv,
in Switch Layer 2

 Share Followers 1

Recommended Posts

ppv

ppv 0

Posted
Posted

Знайшов на просторах інтернету такий мануал, може хтось підкаже що з цього варто використати. Тип підключення абонентів pppoe. Частковий функціонал реалізований . Цікавить більшість:

запрет некоторых видов multicast'а, часто приводящего к шторму в сети:
224.0.0.251, 224.0.0.252, 224.0.0.253, 239.192.152.143, 239.255.255.250
порты протоколов взаимодействия между компьютерами имени Microsoft (smb):
TCP/UDP 135,137-139,445
UNPnP UDP 1900, 2869, 5000
запрет "подозрительных" MAC'ов (00:00:00:00:00:00)

Перечень необходимых настроек

запрет некоторых видов multicast'а, часто приводящего к шторму в сети:
224.0.0.251, 224.0.0.252, 224.0.0.253, 239.192.152.143, 239.255.255.250
порты протоколов взаимодействия между компьютерами имени Microsoft (smb):
TCP/UDP 135,137-139,445
UNPnP UDP 1900, 2869, 5000
запрет "подозрительных" MAC'ов (00:00:00:00:00:00)
loop-detect на клиентских портах
ограничение на broadcast/multicast (storm control)
ограничение на к-во MAC'ов на клиентском порту, защищает от подбора/использования чужих адресов.
запрет DHCP ответов с клиентских портов (UDP с порта 67).
запрет DHCPv6 ответов с клиентских портов (UDP с порта 547).
полезно использовать DHCP option 82
запрет некоторых видов multicast'а, часто приводящего к шторму в сети: 
224.0.0.251, 224.0.0.252, 224.0.0.253, 239.192.152.143, 239.255.255.250
порты протоколов взаимодействия между компьютерами имени Microsoft (smb): 
TCP/UDP 135,137-139,445
UNPnP UDP 1900, 2869, 5000
запрет "подозрительных" MAC'ов (00:00:00:00:00:00)
запрет неиспользуемых ethernet frame type. Например 
0x8863 (PPoE discovery), 0x8137 (IPX)


bpdu disable
stp disable

acl 4000
rule 11 deny source-mac 0000-0000-0000
rule 23 deny l2-protocol 0x8863
rule 24 deny l2-protocol 0x8137
quit

acl 3000
rule 41 deny udp destination-port eq 445
rule 42 deny udp destination-port range 137 139
rule 43 deny udp destination-port eq 135
rule 51 deny tcp destination-port eq 445
rule 52 deny tcp destination-port range 137 139
rule 61 deny udp source-port eq 67
quit

traffic classifier win-ports operator or
if-match acl 3000
if-match acl 4000
traffic behavior win-ports
deny
traffic policy win-ports
classifier win-ports behavior win-ports
quit

traffic classifier bad-proto operator and
if-match acl 4000
traffic behavior bad-proto
deny
traffic policy bad-proto
classifier bad-proto behavior bad-proto
quit

port-group Clients
mac-limit maximum 3
port-security max-mac-num 3
broadcast-suppression 1
multicast-suppression 1
loopback-detect enable
traffic-policy win-ports inbound
quit

port-group Uplinks
traffic-policy bad-proto inbound
Link to post
Share on other sites
  • 4 weeks later...
FTTH_VN

FTTH_VN 59

Posted
Posted (edited)
stp enable
#
 bpdu disable
#
 undo http server enable
#
 drop illegal-mac alarm
#
acl number 3000  
 rule 41 deny udp destination-port eq 445 
 rule 42 deny udp destination-port range netbios-ns netbios-ssn 
 rule 43 deny udp destination-port eq 135 
 rule 51 deny tcp destination-port eq 445 
 rule 52 deny tcp destination-port range 137 139 
 rule 61 deny udp source-port eq bootps 
#
acl number 4000  
 rule 11 deny source-mac 0000-0000-0000
 rule 23 deny l2-protocol 0x8863
 rule 24 deny l2-protocol 0x8137
#
traffic classifier bad-proto operator and
 if-match acl 4000
traffic classifier win-ports operator or 
 if-match acl 3000
 if-match acl 4000
#
traffic behavior bad-proto
 deny
traffic behavior win-ports
 deny
#
traffic policy bad-proto
 classifier bad-proto behavior bad-proto
traffic policy win-ports
 classifier win-ports behavior win-ports
#
настройки порта
interface Ethernet0/0/1
 port hybrid pvid vlan 42
 undo port hybrid vlan 1
 port hybrid untagged vlan 42
 mac-limit maximum 2
 loopback-detect recovery-time 30
 loopback-detect packet vlan 42
 loopback-detect enable
 traffic-policy win-ports inbound
  port-isolate enable group 1
 multicast-suppression 1
 broadcast-suppression 1

 

Можно было б еще использовать dhcp snooping, option82,   ip source check user-bind , arp anti-attack check user-bind но вам оно с пппое не нужно.

 

П.С.

А да свичег с такими настройками будет у вас грузиться как 386 писюк с 95 виндой минуты 3. так что не пугайтесь. Ж)

Edited by FTTH_VN
Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Followers 1
Go to topic listing

  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • isp_skynet
      Продам Huawei NE40E-M2K
      By isp_skynet
      У зв’язку з переходом на продуктивнішу платформу продаємо свій Huawei NE40E-M2K. 
      Пристрій був придбаний у 2022 році в офіційних представників "АйтіБіз".
      Загальна вартість придбання пристрою разом із ліцензіями склала трохи більше 15 000$.
      Можливий продаж з ПДВ.
      З усіх питань прохання звертатися в особисті повідомлення або в Telegram — @Kodr555
       
       
       
      Продуктивність:
      До 2 Tbps загальна пропускна здатність (залежно від конфігурації) До 240 Mpps (мільйонів пакетів на секунду)
      Інтерфейси:
      Підтримка портів 10GE, 40GE, 100GE
      Активовані через RTU-ліцензії:
      40×10GE портів 2×100GE портів
      Шасі та слоти:
      3U шасі До 3 слотів для лінійних карт 2 слоти для комутаційного модуля (SFU) 2 слоти для живлення 1 слот для керуючого процесора (MPUE)
      Надійність та резервування:
      Підтримка GR, BFD, FRR, NSF тощо Резервування джерел живлення та керуючих модулів Охолодження фронт-зад
      Протоколи та функції:
      IPv4/IPv6 Dual Stack MPLS, LDP, RSVP-TE L2VPN (VPWS, VPLS), L3VPN (MPLS VPN) Мультикаст: PIM-SM, PIM-SSM Розширене QoS з 5 рівнями пріоритетів Маршрутизація на основі політик (PBR) BGP, OSPF, IS-IS, RIP
      Застосування:
      Магістральний маршрутизатор для телеком-операторів Агрегаційний маршрутизатор у регіональних мережах BNG (широкосмуговий мережевий шлюз) Прикордонний маршрутизатор у корпоративних мережах Підходить для дата-центрів та хмарної інфраструктури
      Функціональні ліцензії:
      Network Detection Function (діагностика та моніторинг) Функціональність BNG Агрегація трафіку Базове ПЗ NE40E-M2, VRP8 V800R010 Додаткові функції для аналізу трафіку
      Ліцензії на порти та ємність:
      RTU-ліцензія на 1×10GE порт – 10 шт. RTU-ліцензія на 10×10GE портів – 3 ліцензії (загалом 30 портів) RTU-ліцензія на 1×100GE порт – 2 шт. Ліцензія на збільшення пропускної здатності на 50GE – 1 шт.
      Підтримка користувачів:
      Підтримка до 20 000 абонентів
    • Oleh B
      Продам оборудование Huawei
      By Oleh B
      Большой склад оборудования  Huawei, Cisco и другие. Вспе в наличии. Пишите подберем и договоримся по цене 









    • Oleh B
      Продам Схд Huawei OceanStor Dorado 6000 Новая
      By Oleh B
      В наличии осталась 1 штука Схд Huawei OceanStor Dorado 6000. Цена 35000$ Любая информация или что нужно, пишите. Обменяемся контактами отвечу на все вопросы. Доставка 3-7 дней. 
       
       
       
       



    • ВадимИвч
      Bootrom.bin файл для huawei s5300
      By ВадимИвч
      Есть ли у кого-нибудь bootrom.bin файл для huawei s5300? Буду очень благодарен 
    • Aspen
      Вибір Олта
      By Aspen
      Доброго дня Хотів порадитись наразі стою перед закупкою олтів для будівництва Планую закупити одразу партію щоб дешевше. Хотів би отримати поради на сьогодні що краще для gPon 
      ZTE /BdCom /huawei
      Основні вимоги
      1. 82 опція підтримка 
      2. Моживість моніторинга 
      3. Універсальність при заміні плат gPon/ XPon 
      4. Доступніть Ону 
      Це загальні вимоги 
      Тому більш цікавить досвід використання з полів, щоб вирішити що закупати. 
      Дуже дякую за вашу думку 
×
×
  • Create New...