Автор Тема: Port secure  (Прочетена 3224 пъти)

flipz

  • Участник
  • *****
  • Публикации: 87
    • Профил
Port secure
« -: Sep 14, 2008, 16:55 »
четох, че някой управляеми switch-ове имали port secure което примерно при големи колизий и тн .. направо изключва порта.
някой да ме ориентира евентуално към някоя марка или нещо което е ползвал. това е полезно в лан мрежи.

дадоха ми информация, че ZTE switch-овете биле азиатските CISCO като им се сменял firmware-то .. и това ме интерисува.

И все пак ZTE се води smart има доста неща +layer3 но така и не открих подобна опция като port secure
Активен

teleport

  • Участник
  • *****
  • Публикации: 134
    • Профил
Port secure
« Отговор #1 -: Sep 15, 2008, 09:03 »
Port secure при Cisco и Allied Telesyn прави съвсем друго нещо. Примерно при AT:

Цитат
interface range ethernet 1/e(11,15,17-20,24),2/e(2,18-20,22),3/e(14,16,19-20)
,4/e(2-8,11-22)
port security discard-shutdown trap 10
exit
interface range ethernet 1/e23,3/e13
port security discard trap 10
exit
interface vlan 11
bridge address 00:08:02:0b:9c:3e ethernet 3/e19 secure
bridge address 00:0f:fe:4c:1f:42 ethernet 4/e7 secure
bridge address 00:0f:fe:4c:44:4d ethernet 4/e5 secure
bridge address 00:0f:fe:4c:46:f0 ethernet 4/e11 secure
bridge address 00:13:d4:44:95:eb ethernet 1/e20 secure
exit


В първия случай ако на тези портове дойде пакет с непознат мак адрес порта ще бъде угасен (discard-shutdown) и ще бъде изпратен snmp trap. Във втория случай пакета ще бъде игнориран (discard) и отново ще бъде изпратен snmp trap ( по един на всеки 10 сек, докато чуждата машина праща пакети ).

Във мрежа със siwtch-ове колизий не може да има. Колизий има само в мрежа с hub-ове. Предполагам имаш предвид Broadcast Storm Protection. Повечето управляеми switch-ове има такава защита, но не всички гасят портовете. Примерно AT-тата ги лимитират до зададен rate ( в kbit/sec ) но не гасят порта.

Примерно пак на АТ:

Цитат
interface ethernet 1/e21
port storm-control broadcast rate 70
exit


Това лимитира forward-а на броадкаст пакети до 70kbit/sec и толкова. Нито съобщава за това, нито може да угаси порта.
Активен

gat3way

  • Участник
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Port secure
« Отговор #2 -: Sep 15, 2008, 09:48 »
На SAN суичовете на цицко има подобен feature, само че не знам дали се нарича точно port secure, тези джаджи не ми влизат много-много в работата, единствено съм имал проблеми заради това и оттам знам. Когато се получат повече i/o грешки от определен threshold, порта се гаси автоматично. Лошото е че след време не се вдига сам, поради това за multipathing-a този път умира завинаги или поне докато някой не се логне на суича и не вдигне порта.
Активен

"Knowledge is power" - France is Bacon

teleport

  • Участник
  • *****
  • Публикации: 134
    • Профил
Port secure
« Отговор #3 -: Sep 15, 2008, 10:13 »
Цитат (gat3way @ Сеп. 15 2008,10:48)
Лошото е че след време не се вдига сам, .....

Пробвай с errdisable recovery:

Цитат
#sh errdisable recovery
ErrDisable Reason    Timer Status
-----------------    --------------
arp-inspection       Enabled
bpduguard            Enabled
channel-misconfig    Enabled
dhcp-rate-limit      Enabled
dtp-flap             Enabled
gbic-invalid         Enabled
inline-power         Disabled
l2ptguard            Enabled
link-flap            Enabled
mac-limit            Disabled
loopback             Enabled
pagp-flap            Enabled
port-mode-failure    Disabled
psecure-violation    Enabled
security-violatio    Enabled
sfp-config-mismat    Enabled
small-frame          Disabled
storm-control        Enabled
udld                 Enabled
vmps                 Enabled

Timer interval: 300 seconds

Interfaces that will be enabled at the next timeout:
Активен

gat3way

  • Участник
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Port secure
« Отговор #4 -: Sep 15, 2008, 10:58 »
Не администрирам суичове '<img'>
Активен

"Knowledge is power" - France is Bacon

flipz

  • Участник
  • *****
  • Публикации: 87
    • Профил
Port secure
« Отговор #5 -: Sep 15, 2008, 21:42 »
да това имах предвид: Broadcast Storm Protection то колизий имат хубовете, който не се ползват вече.
днес си поръчах един DELL Switch PowerConnect 5424 това мисля, че е нещо много добро + че на страницата им има добри примери за управление от новаци. CISCO е нещо много хубаво, но управлението му е много сложно + че и цената му е добра.
управлението му е близко до това на Cisco но малко по оптимизирано и опростено ми се струва, както и ZTE


имам един Allied Telesyn гигабитов, но нямам кабел за него, а и паролите за достъп не знам .. а те не могат да се резетват мисля.
Активен

teleport

  • Участник
  • *****
  • Публикации: 134
    • Профил
Port secure
« Отговор #6 -: Sep 16, 2008, 08:12 »
Цитат (flipz @ Сеп. 15 2008,22:42)
имам един Allied Telesyn гигабитов, но нямам кабел за него, а и паролите за достъп не знам .. а те не могат да се резетват мисля.

На повечето АТ-та близо до серийния порт има една много малка дупчица със ситен надпис "reset". На повечето модели трябва да го задържиш натиснат докато включваш захранването.

На по-новите примерно AT8000 ти трябва серийния кабел. Натискаш enter мисля веднага след включване на захранването и спираш в менюто на boot loader-а. Там можеш да форматираш flash-а. Фабричните настройки са user: manager, pass: friend.

Току що открих нещо интересно при руснаците:

Цитат
   Как восстановить утерянный пароль на коммутаторах Allied Telesyn серии AT-8000 (AT-8024, AT-8026T, AT-8024GB, AT-8024M, 8012M, 8026FC)?
1. Подключаемся к коммутатору через консольный порт и запускаем терминальную программу (Hyper Terminal, Tera Term,...)

2. Авторизуемся:
login: manager
password: Ctrl+'ati'

3. Сохраняем текущую конфигурацию:
а)Либо записываем на бумаге значение VLAN, транк-групп, STP, QoS и т.д.
б)Либо сохраняем конфигурацию через TFTP-клиент

4. Выбираем "5 - System Config Menu" -> "7 - Reset to Factory defaults"
Логин и пароль теперь стоят по умолчанию (login: manager, password: friend)

5. Восстанавливаем настройки вручную или подгружаем конфигурационный файл через TFTP-клиент.


Ако АТ-то няма сериен порт тогава пращаш на Allied серийния номер + mac адреса ( пише ги на лепенка отзад ) и те ще ти изпратят "backdoor" паролата на твоя switch за да го ресетнеш. По интересното е как ще се вържеш към него ако не му знаеш ip-тата ( и са сетнати статично ). Аз скоро брах такива ядове с един GS950 Web "smart" switch. Сетнат статично, при това с vlan-и. Switch-а си мълчи след включване и не праща абсолютно никакви пакети. Докато разбера какво му е ip-то, в кой vlan и на кой порт го има тоя vlan (тагнат) ми се взе здравето.
Активен

flipz

  • Участник
  • *****
  • Публикации: 87
    • Профил
Port secure
« Отговор #7 -: Sep 16, 2008, 15:38 »
благодаря колега ... сега е в един познат, но като го вземем ще тествам вариянтите който ми описа ..
ще пиша отговора .. мислих, че е тук но са го дали на познат да се пробва.

а ип-то мисля, че може да се засече по някакъв начин ... има едно програмче, което ползжам за арп- атаките в лан-а .. веднага когято има неюо вкл. връща отговор .. едно ип + маска .. може и да грейне.

днес чакам

http://www.dell.com/content....&cs=555
Активен