отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

Где грань разумного при настройке L2 секурити?

Здравствуйте.

Есть два свитча 2960. После настройки на них DHCP snoping, arp inspaction и port security. Сложилось впечателине что вся сеть заражена страшним вирусом.

Jul 23 16:31:35.844: %SW_DAI-4-PACKET_RATE_EXCEEDED: 28 packets received in 8 milliseconds on Fa0/17.

Jul 23 16:31:35.844: %PM-4-ERR_DISABLE: arp-inspection error detected on Fa0/17, putting Fa0/17 in err-disable state

Jul 23 16:11:56.406: %SW_DAI-4-PACKET_RATE_EXCEEDED: 26 packets received in 419 milliseconds on Fa0/5.

Jul 23 16:11:56.406: %PM-4-ERR_DISABLE: arp-inspection error detected on Fa0/5, putting Fa0/5 in err-disable state

такая ситуация не только с портом 17 и 5 таких много.

типичная настрока порта с комментариями

interface FastEthernet0/8

switchport mode access

switchport nonegotiate

switchport port-security maximum 20 //изначально тут стоял 2, для телефона и для компа

switchport port-security

ip arp inspection limit rate 25 //дефолтные настройки 16 в секунду, но пришлось поднять до 25 и всеравно много заблокированных портов

spanning-tree portfast

Причем этот ARP "шторм" начинается когда люди выполняют самые обычные операции. Например лезут на виндовую шару, пишут письмо в аутлуке. А вот запись 17 порта это устройство для считывания отпечатков пальцев. Там уже никаких аутлуков и виндовых шар. Но всеравно очень агрессивно ведет себя этот девайс.Всвязи с этим у меня возник вопрос. Может быть дефолтные настройки от циски слегка за гранью разумного, слишком параноидальны. Возможна такое количество АРП это нормальная работа сети? У кого был опыт внедрения, что показывает практика? Я бы с радостью включил бы еще проверку МАС источника и полчателя в запросе(ip arp inspection validate[src-mac] [dst-mac] [ip] ), но боюсь так как не понимаю что происходит даже на базовом уровне.

Теги (1)
  • Теги:
5 ОТВЕТ.
New Member

Где грань разумного при настройке L

забыл добавить. Порты уходят в errdisable очень часто, просто я включил что бы через 30 сек порт сам поднимался иначе я просто устал реагировать на просьбы дать поработать.

New Member

Где грань разумного при настройке L

Добрый вечер,

Я бы

1. выключил все механизмы, что мешают людям работать, на период разбирательства

2. включил бы span на один из портов, и посмотрел бы на трафик с порта - попытался разобраться, почему cisco реагирует так на трафик входящий с порта. В этом пункте бы выяснилось кто/что виновато - трафик в сети, плохая прошивка на cisco или ваше недопонимание того как cisco настраивается.

3. тут уже принимал решение что делать.

New Member

Re: Где грань разумного при настройк

Выключать механизмы причин нет, достаточно увеличить лимиты что я собственно и сделал, а можно что бы и шатдаунился порт.

Да и к тому же реакция свитча понятна, пришло пакетов больше нормы порт в дисейбл. Вопрос в том сколько пакетов нормально для среднестатистической сети.

Про СПАН мысль была но и опять же, ну  увижу я что чей-то комп рассылает огромное количество АРП запросов, что мне это даст? Мне надо знать какая программа это делает и нормально это или нет.

New Member

Re: Где грань разумного при настройк

Зачем вам лимиты? Вы же все равно их увеличиваете, даже не пытаясь разобраться отчего они превышены.

Слушать спаном, чтобы понять - есть там трафик или нет. Если есть - выяснять откуда взялся. Если нет - значит прошивка на свитчах глючит.

Когда выясните, с какого компьютера приходит много арпов, выключаете компьютер из сети и видимо уже в другом форуме спрашиваете, как узнать, какая софтина так сорит в сеть (смотреть на tcpview к примеру надо, netstat -an и прочее)

New Member

Где грань разумного при настройке L

Попробую ответить на свой вопрос.

Около 40 минут сбора АРП пакетов самого проблемного хоста, дало возможность прояснить ситуацию.

Значит в лог циски попала запись о блокировке, с укзанием времени события. Анализ начался с того же времени уже логов tcpdump.

Те пакеты которые содержались в логе не вызывали никаких нареканий класические запрос-ответ пакеты, много бродкаста. Но так как сеть состоит из примерно 400 узлов, то большое количество L2 бродкастов можно объяснить. В скором времени ситуация немного изменится когда узлы растекуться по виланам, но это уже другая история.

А теперь ответ на самый главный вопрос насколько параноидальны дефолтные настройки от циско. ИМХО - черезвичайно .  А дело в том что у свитчей catalyst 2960 черезвичайно развито чувство самосохранения, которым его наделили создатели IOS. Сегодня я увидел строчку в доке которую я раньше почему-то не замечал

Вот она:

The switch CPU performs dynamic ARP inspection  validation checks; therefore, the number of incoming ARP packets is  rate-limited to prevent a denial-of-service attack. 

Во поэтому я прихожу к выводу что моя паника была преждевременной, а дефолтные настройки слишком жесткие и  расчитаны на то что в сети только один свитч (в моем случае 48 портов).

Прошу меня простить за нездержаность. Просто в сети переодически кто-то отравляет АРП кеш на рабочих станциях. И эта метушня забила мне голову и не давала спокойно логически мыслить. И вот весь этот огород из-за того что бы попытаться защитить сеть от этого. На данном этапе ситуация мне кажется ясной, поэтому хочу попробовать продолжить накатывать снежный ком   ip arp inspection validate {[src-mac] [dst-mac] [ip]}

Всем спасибо.

Комментарии приветствуются.

989
Просмотры
0
Полезный материал
5
Ответы