Перейти до

Настройка Huawei S2309TP-EI (базовий захист від шторму і флуду)


Рекомендованные сообщения

Знайшов на просторах інтернету такий мануал, може хтось підкаже що з цього варто використати. Тип підключення абонентів pppoe. Частковий функціонал реалізований . Цікавить більшість:

запрет некоторых видов multicast'а, часто приводящего к шторму в сети:
224.0.0.251, 224.0.0.252, 224.0.0.253, 239.192.152.143, 239.255.255.250
порты протоколов взаимодействия между компьютерами имени Microsoft (smb):
TCP/UDP 135,137-139,445
UNPnP UDP 1900, 2869, 5000
запрет "подозрительных" MAC'ов (00:00:00:00:00:00)

Перечень необходимых настроек

запрет некоторых видов multicast'а, часто приводящего к шторму в сети:
224.0.0.251, 224.0.0.252, 224.0.0.253, 239.192.152.143, 239.255.255.250
порты протоколов взаимодействия между компьютерами имени Microsoft (smb):
TCP/UDP 135,137-139,445
UNPnP UDP 1900, 2869, 5000
запрет "подозрительных" MAC'ов (00:00:00:00:00:00)
loop-detect на клиентских портах
ограничение на broadcast/multicast (storm control)
ограничение на к-во MAC'ов на клиентском порту, защищает от подбора/использования чужих адресов.
запрет DHCP ответов с клиентских портов (UDP с порта 67).
запрет DHCPv6 ответов с клиентских портов (UDP с порта 547).
полезно использовать DHCP option 82
запрет некоторых видов multicast'а, часто приводящего к шторму в сети: 
224.0.0.251, 224.0.0.252, 224.0.0.253, 239.192.152.143, 239.255.255.250
порты протоколов взаимодействия между компьютерами имени Microsoft (smb): 
TCP/UDP 135,137-139,445
UNPnP UDP 1900, 2869, 5000
запрет "подозрительных" MAC'ов (00:00:00:00:00:00)
запрет неиспользуемых ethernet frame type. Например 
0x8863 (PPoE discovery), 0x8137 (IPX)


bpdu disable
stp disable

acl 4000
rule 11 deny source-mac 0000-0000-0000
rule 23 deny l2-protocol 0x8863
rule 24 deny l2-protocol 0x8137
quit

acl 3000
rule 41 deny udp destination-port eq 445
rule 42 deny udp destination-port range 137 139
rule 43 deny udp destination-port eq 135
rule 51 deny tcp destination-port eq 445
rule 52 deny tcp destination-port range 137 139
rule 61 deny udp source-port eq 67
quit

traffic classifier win-ports operator or
if-match acl 3000
if-match acl 4000
traffic behavior win-ports
deny
traffic policy win-ports
classifier win-ports behavior win-ports
quit

traffic classifier bad-proto operator and
if-match acl 4000
traffic behavior bad-proto
deny
traffic policy bad-proto
classifier bad-proto behavior bad-proto
quit

port-group Clients
mac-limit maximum 3
port-security max-mac-num 3
broadcast-suppression 1
multicast-suppression 1
loopback-detect enable
traffic-policy win-ports inbound
quit

port-group Uplinks
traffic-policy bad-proto inbound

Ссылка на сообщение
Поделиться на других сайтах
  • 4 weeks later...
stp enable
#
 bpdu disable
#
 undo http server enable
#
 drop illegal-mac alarm
#
acl number 3000  
 rule 41 deny udp destination-port eq 445 
 rule 42 deny udp destination-port range netbios-ns netbios-ssn 
 rule 43 deny udp destination-port eq 135 
 rule 51 deny tcp destination-port eq 445 
 rule 52 deny tcp destination-port range 137 139 
 rule 61 deny udp source-port eq bootps 
#
acl number 4000  
 rule 11 deny source-mac 0000-0000-0000
 rule 23 deny l2-protocol 0x8863
 rule 24 deny l2-protocol 0x8137
#
traffic classifier bad-proto operator and
 if-match acl 4000
traffic classifier win-ports operator or 
 if-match acl 3000
 if-match acl 4000
#
traffic behavior bad-proto
 deny
traffic behavior win-ports
 deny
#
traffic policy bad-proto
 classifier bad-proto behavior bad-proto
traffic policy win-ports
 classifier win-ports behavior win-ports
#
настройки порта
interface Ethernet0/0/1
 port hybrid pvid vlan 42
 undo port hybrid vlan 1
 port hybrid untagged vlan 42
 mac-limit maximum 2
 loopback-detect recovery-time 30
 loopback-detect packet vlan 42
 loopback-detect enable
 traffic-policy win-ports inbound
  port-isolate enable group 1
 multicast-suppression 1
 broadcast-suppression 1

 

Можно было б еще использовать dhcp snooping, option82,   ip source check user-bind , arp anti-attack check user-bind но вам оно с пппое не нужно.

 

П.С.

А да свичег с такими настройками будет у вас грузиться как 386 писюк с 95 виндой минуты 3. так что не пугайтесь. Ж)

Відредаговано FTTH_VN
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від kotqq
      del
    • Від kotqq
      Продам модуль Huawei WP1D000SPU01, цена 200$
       

    • Від monark
      I sell files to unlock OLT ZTE and OLT Huawei.
      Розблокуйте свої OLT самостійно, щоб прийняти будь-який ONT.
       
      OLT ZTE: C300, C320, C350
       
      OLT HUAWEI: MA5800 X2, X7, X15 and X17 all boards / всі дошки
      OLT HUAWEI: MA56XX all boards / всі дошки
       
      Unlock your OLTs yourself to accept any ONT.
      Розблокуйте свої OLT самостійно, щоб прийняти будь-який ONT.
       
       
      PVT
    • Від Rostyk.07
      Після кожного вимкнення з мережі він повертається до заводських налаштувань. За аналогічною темою люди пропонують шукати акумулятор і замінювати його. Роутер розібрав, батареї не знайшов. Я знайшов аналогічну тему на форумі Orange, хтось писав, що ремонт банальний і будь-який Електронік впорається. Але не написали що саме міняти. (часта несправність цього роутера. Якийсь заводський дефект або, як хтось віддає перевагу теоріям змови, навмисні дії Huawei, щоб купувати нові пристрої.) До цього часу, роутер працював багато років без глюків. БП підкинув, нічого не дало. Прошивку міняв. Махнути флеш або почати з заміни конденсаторів? Опір 5,6K на кнопці reset!


    • Від ajax75
      Керовані комутатори у заводських налаштуваннях з вухами та кабелями. 
      Без битих портів (всі порти тестувались).
      До 10 шт. вартість 1400 грн./шт.
      від 10 ціна обговорюється.
      В наявності 20+ шт.

×
×
  • Створити нове...