Настройка Huawei S2309TP-EI (базовий захист від шторму і флуду)

ppv · 2016-01-02 14:04:43

Знайшов на просторах інтернету такий мануал, може хтось підкаже що з цього варто використати. Тип підключення абонентів pppoe. Частковий функціонал реалізований . Цікавить більшість:

запрет некоторых видов multicast'а, часто приводящего к шторму в сети:
224.0.0.251, 224.0.0.252, 224.0.0.253, 239.192.152.143, 239.255.255.250
порты протоколов взаимодействия между компьютерами имени Microsoft (smb):
TCP/UDP 135,137-139,445
UNPnP UDP 1900, 2869, 5000
запрет "подозрительных" MAC'ов (00:00:00:00:00:00)

Перечень необходимых настроек

запрет некоторых видов multicast'а, часто приводящего к шторму в сети:
224.0.0.251, 224.0.0.252, 224.0.0.253, 239.192.152.143, 239.255.255.250
порты протоколов взаимодействия между компьютерами имени Microsoft (smb):
TCP/UDP 135,137-139,445
UNPnP UDP 1900, 2869, 5000
запрет "подозрительных" MAC'ов (00:00:00:00:00:00)
loop-detect на клиентских портах
ограничение на broadcast/multicast (storm control)
ограничение на к-во MAC'ов на клиентском порту, защищает от подбора/использования чужих адресов.
запрет DHCP ответов с клиентских портов (UDP с порта 67).
запрет DHCPv6 ответов с клиентских портов (UDP с порта 547).
полезно использовать DHCP option 82
запрет некоторых видов multicast'а, часто приводящего к шторму в сети: 
224.0.0.251, 224.0.0.252, 224.0.0.253, 239.192.152.143, 239.255.255.250
порты протоколов взаимодействия между компьютерами имени Microsoft (smb): 
TCP/UDP 135,137-139,445
UNPnP UDP 1900, 2869, 5000
запрет "подозрительных" MAC'ов (00:00:00:00:00:00)
запрет неиспользуемых ethernet frame type. Например 
0x8863 (PPoE discovery), 0x8137 (IPX)


bpdu disable
stp disable

acl 4000
rule 11 deny source-mac 0000-0000-0000
rule 23 deny l2-protocol 0x8863
rule 24 deny l2-protocol 0x8137
quit

acl 3000
rule 41 deny udp destination-port eq 445
rule 42 deny udp destination-port range 137 139
rule 43 deny udp destination-port eq 135
rule 51 deny tcp destination-port eq 445
rule 52 deny tcp destination-port range 137 139
rule 61 deny udp source-port eq 67
quit

traffic classifier win-ports operator or
if-match acl 3000
if-match acl 4000
traffic behavior win-ports
deny
traffic policy win-ports
classifier win-ports behavior win-ports
quit

traffic classifier bad-proto operator and
if-match acl 4000
traffic behavior bad-proto
deny
traffic policy bad-proto
classifier bad-proto behavior bad-proto
quit

port-group Clients
mac-limit maximum 3
port-security max-mac-num 3
broadcast-suppression 1
multicast-suppression 1
loopback-detect enable
traffic-policy win-ports inbound
quit

port-group Uplinks
traffic-policy bad-proto inbound

=Master_Riv= · 2016-01-29 11:59:37

port link-type access

loopback-detect enable

broadcast-suppression

dhcp snooping

думаю будет достаточно

FTTH_VN · 2016-01-29 16:32:28

stp enable

#

bpdu disable

#

undo http server enable

#

drop illegal-mac alarm

#

acl number 3000

rule 41 deny udp destination-port eq 445

rule 42 deny udp destination-port range netbios-ns netbios-ssn

rule 43 deny udp destination-port eq 135

rule 51 deny tcp destination-port eq 445

rule 52 deny tcp destination-port range 137 139

rule 61 deny udp source-port eq bootps

#

acl number 4000

rule 11 deny source-mac 0000-0000-0000

rule 23 deny l2-protocol 0x8863

rule 24 deny l2-protocol 0x8137

#

traffic classifier bad-proto operator and

if-match acl 4000

traffic classifier win-ports operator or

if-match acl 3000

if-match acl 4000

#

traffic behavior bad-proto

deny

traffic behavior win-ports

deny

#

traffic policy bad-proto

classifier bad-proto behavior bad-proto

traffic policy win-ports

classifier win-ports behavior win-ports

#

настройки порта

interface Ethernet0/0/1

port hybrid pvid vlan 42

undo port hybrid vlan 1

port hybrid untagged vlan 42

mac-limit maximum 2

loopback-detect recovery-time 30

loopback-detect packet vlan 42

loopback-detect enable

traffic-policy win-ports inbound

port-isolate enable group 1

multicast-suppression 1

broadcast-suppression 1

Можно было б еще использовать dhcp snooping, option82, ip source check user-bind , arp anti-attack check user-bind но вам оно с пппое не нужно.

П.С.

А да свичег с такими настройками будет у вас грузиться как 386 писюк с 95 виндой минуты 3. так что не пугайтесь. Ж)

Відредаговано 2016-01-29 16:34:14 FTTH_VN

Увійти

Настройка Huawei S2309TP-EI (базовий захист від шторму і флуду)

Рекомендованные сообщения

ppv 1

Ссылка на сообщение

Поделиться на других сайтах

=Master_Riv= 0

Ссылка на сообщение

Поделиться на других сайтах

FTTH_VN 59

Ссылка на сообщение

Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Создать аккаунт

Вхід

Зараз на сторінці 0 користувачів

Схожий контент

Спільнота

Активність