Jump to content

Настройка Huawei S2309TP-EI (базовий захист від шторму і флуду)

ppv

By ppv,
in Switch Layer 2

 Share Followers 1

Recommended Posts

ppv

ppv 0

Posted
Posted

Знайшов на просторах інтернету такий мануал, може хтось підкаже що з цього варто використати. Тип підключення абонентів pppoe. Частковий функціонал реалізований . Цікавить більшість:

запрет некоторых видов multicast'а, часто приводящего к шторму в сети:
224.0.0.251, 224.0.0.252, 224.0.0.253, 239.192.152.143, 239.255.255.250
порты протоколов взаимодействия между компьютерами имени Microsoft (smb):
TCP/UDP 135,137-139,445
UNPnP UDP 1900, 2869, 5000
запрет "подозрительных" MAC'ов (00:00:00:00:00:00)

Перечень необходимых настроек

запрет некоторых видов multicast'а, часто приводящего к шторму в сети:
224.0.0.251, 224.0.0.252, 224.0.0.253, 239.192.152.143, 239.255.255.250
порты протоколов взаимодействия между компьютерами имени Microsoft (smb):
TCP/UDP 135,137-139,445
UNPnP UDP 1900, 2869, 5000
запрет "подозрительных" MAC'ов (00:00:00:00:00:00)
loop-detect на клиентских портах
ограничение на broadcast/multicast (storm control)
ограничение на к-во MAC'ов на клиентском порту, защищает от подбора/использования чужих адресов.
запрет DHCP ответов с клиентских портов (UDP с порта 67).
запрет DHCPv6 ответов с клиентских портов (UDP с порта 547).
полезно использовать DHCP option 82
запрет некоторых видов multicast'а, часто приводящего к шторму в сети: 
224.0.0.251, 224.0.0.252, 224.0.0.253, 239.192.152.143, 239.255.255.250
порты протоколов взаимодействия между компьютерами имени Microsoft (smb): 
TCP/UDP 135,137-139,445
UNPnP UDP 1900, 2869, 5000
запрет "подозрительных" MAC'ов (00:00:00:00:00:00)
запрет неиспользуемых ethernet frame type. Например 
0x8863 (PPoE discovery), 0x8137 (IPX)


bpdu disable
stp disable

acl 4000
rule 11 deny source-mac 0000-0000-0000
rule 23 deny l2-protocol 0x8863
rule 24 deny l2-protocol 0x8137
quit

acl 3000
rule 41 deny udp destination-port eq 445
rule 42 deny udp destination-port range 137 139
rule 43 deny udp destination-port eq 135
rule 51 deny tcp destination-port eq 445
rule 52 deny tcp destination-port range 137 139
rule 61 deny udp source-port eq 67
quit

traffic classifier win-ports operator or
if-match acl 3000
if-match acl 4000
traffic behavior win-ports
deny
traffic policy win-ports
classifier win-ports behavior win-ports
quit

traffic classifier bad-proto operator and
if-match acl 4000
traffic behavior bad-proto
deny
traffic policy bad-proto
classifier bad-proto behavior bad-proto
quit

port-group Clients
mac-limit maximum 3
port-security max-mac-num 3
broadcast-suppression 1
multicast-suppression 1
loopback-detect enable
traffic-policy win-ports inbound
quit

port-group Uplinks
traffic-policy bad-proto inbound
Link to post
Share on other sites
  • 4 weeks later...
FTTH_VN

FTTH_VN 59

Posted
Posted (edited)
stp enable
#
 bpdu disable
#
 undo http server enable
#
 drop illegal-mac alarm
#
acl number 3000  
 rule 41 deny udp destination-port eq 445 
 rule 42 deny udp destination-port range netbios-ns netbios-ssn 
 rule 43 deny udp destination-port eq 135 
 rule 51 deny tcp destination-port eq 445 
 rule 52 deny tcp destination-port range 137 139 
 rule 61 deny udp source-port eq bootps 
#
acl number 4000  
 rule 11 deny source-mac 0000-0000-0000
 rule 23 deny l2-protocol 0x8863
 rule 24 deny l2-protocol 0x8137
#
traffic classifier bad-proto operator and
 if-match acl 4000
traffic classifier win-ports operator or 
 if-match acl 3000
 if-match acl 4000
#
traffic behavior bad-proto
 deny
traffic behavior win-ports
 deny
#
traffic policy bad-proto
 classifier bad-proto behavior bad-proto
traffic policy win-ports
 classifier win-ports behavior win-ports
#
настройки порта
interface Ethernet0/0/1
 port hybrid pvid vlan 42
 undo port hybrid vlan 1
 port hybrid untagged vlan 42
 mac-limit maximum 2
 loopback-detect recovery-time 30
 loopback-detect packet vlan 42
 loopback-detect enable
 traffic-policy win-ports inbound
  port-isolate enable group 1
 multicast-suppression 1
 broadcast-suppression 1

 

Можно было б еще использовать dhcp snooping, option82,   ip source check user-bind , arp anti-attack check user-bind но вам оно с пппое не нужно.

 

П.С.

А да свичег с такими настройками будет у вас грузиться как 386 писюк с 95 виндой минуты 3. так что не пугайтесь. Ж)

Edited by FTTH_VN
Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Followers 1
Go to topic listing

  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • Oleh B
      Сервери Dell R640 10SFF
      By Oleh B
      Можемо зробити кількість. Будь-які. Dell R640 10SFF - HBA330, 2x Heatsink, 2x PSU, A7 Rails  320 Євро вже с достувкою в Украіні.  Від 200 штук
      Продаж від 10 шт. 
      Маемо дуже гарні ціни на huawei dorado. Пишіть. Дзвоніть. Питайте. 



    • ГрозаИнтернета
      Продам оборудование.
      By ГрозаИнтернета
      Всем привет. Сеть разбили, продаю оборудование, которое удалось спасти.
      Роутер MikroTik 1036-12G-4S - 16500 грн.
      Сервер Dell R410(Xeon L5640(60Вт), 16 Gb RAM, 2x300 Gb SAS, iDrac, Raid, IPMI) - 4500 грн.
      Коммутатор ZyXEL MES-3528 - 2000 грн.
      Коммутатор HUAWEI S2326 - 1500 грн.
      Коммутатор Dell PowerConnect 6224F(опц.10G) - 5000 грн
      Коммутатор D-Link DGS-3627G (нюанс) - 1000 грн
      OLT BDCom P3310(Пролайн упс) - 9000 грн
      Упс APCSmart-UPS RT 2000 + картаAP9619 + кабель для подключения внешних АКБ - 12500 грн.
      Коммутатор ELTEX MES2324FB AC в коробке - 10000
      OLT EPON E9004-D 10G (Пролайн упс) в коробке - 10000
      Кабель OK-NET S/FTP Cat.6a 500Mhz LSOH AWG 23 4pr 280 метров - 8500
      Куча SFP EPON C+++, SFP SC, сетевые карты, твинакс кабеля.

    • prototip
      Продам новий акумулятор LiFePo4 48в 100 аН Huawei ESM48-100 5кВт
      By prototip
      Продам новий акумулятор LiFePo4 48в 100 аН Huawei ESM48-100 5кВт.
      Ціна питання 1050 уе
      15s - дуже зручно для телекома.
      Якість брендового обладнання від Huawei.
      Використовується в стійках живлення від Хуйвей, працюють по шині з джерелами живлення від Хуавей.
      Дока - https://support.huawei.com/enterprise/en/doc/EDOC1100205405/1c78958c/lithium-battery-esm-48100b1

    • Інет.укр
      Продам Huawei 5608t olt
      By Інет.укр
      Продам huawei olt 5608t 
      Комплект 
      2x MCUD Control Card
      1x GPFD Service Board
      1x MPWD Power module
      16x GPON SFP C++
      Вартість $1150, сказали що був тільки у резерві, 2шт

       
    • jaroslav2r
      Huawei ONU XML Provisioning,Настройка ONU Huawei через XML,Налаштування ONU Huawei через XML
      By jaroslav2r
      Hello,
      Has anyone successfully provisioned a Huawei ONU on a non-Huawei OLT using an XML file?
      Чи хтось успішно налаштовував ONU Huawei на OLT іншого виробника за допомогою XML-файлу?
      Кто-нибудь успешно настраивал ONU Huawei на OLT стороннего производителя с помощью XML-файла?
×
×
  • Create New...