Форум программистов, компьютерный форум, киберфорум
Наши страницы
Cisco
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.56/9: Рейтинг темы: голосов - 9, средняя оценка - 4.56
SwkIrgups
11 / 11 / 0
Регистрация: 16.01.2013
Сообщений: 95
1

Port-security множественный err-disabled

02.03.2013, 18:33. Просмотров 1714. Ответов 4
Метки нет (Все метки)

Имеется достаточно разветвленная сеть в состав которой входят разнообразные коммутаторы Cisco. Практически всюду на портах включен порт-секьюрити с violation shutdown. Периодически, где-то раз в два месяца, происходит такая катастрофа: одновременно переходят в состояние err-disabled огромное количество портов на всех коммутаторах, за исключением основного шлюза cisco 6513. Все порты болкируются неизвестными мас-адресами, принадлежащими компании Microsoft. На машинах, которые блокируют порты стоит, в основном, ХР, местами семерка.
Поиск в гугле показал, что такая проблема довольно распространенная, но внятного объяснения я не нашел. Можно было бы решить проблему переходом на violation restrict, но такое противоречит политике пользования сетью учреждения, поэтому и приходится бросать все и снимать блокировки весь день. Может кто сталкивался с этой бедой? Как боролись?
0
QA
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
02.03.2013, 18:33
Ответы с готовыми решениями:

Security port на транковом порту
Добрый день. Хочу настроить port security на Switch Cisco-3560. С access портами проблем нет, там...

резервирование маршрутизатора и port-security на каталисте
Такая задача. Есть два резервируемых маршрутизатора, которые подключаются к локалке через катались...

The Bat 7.* отправляет, но не принимает почту ошибка -ERR [AUTH] login failure or POP3 disabled
Вот полный скрин ошибки Судя по ошибке, что авторизацию не проходит, либо pop3 не доступен....

Ошибка chmod() has been disabled for security reasons
Здравствуйте, залил сайт на хостинг, пытаюсь загрузить файл на сервер, а оно выдает: chmod() has...

Warning: exec() has been disabled for security reasons
Доброго времени суток. Собственно отключает и не выполняется функция Вот код: function...

4
SwkIrgups
11 / 11 / 0
Регистрация: 16.01.2013
Сообщений: 95
26.02.2014, 14:01  [ТС] 2
Проблема самоликвидировалась при грамотной модернизации структуры сети в соответствии с рекомендациями циско. Тема закрыта.
0
SwkIrgups
11 / 11 / 0
Регистрация: 16.01.2013
Сообщений: 95
22.04.2014, 15:09  [ТС] 3
А нифига! У меня пердимоноколь из глаза сегодня выпал, когда телефон техподдержки порвало от звонков пользователей, а на сервере snmp я не успевал замечать, как страницы лога залистываются. Множественный error-disabled, порты блокируются мак-адресами 00-0D-3A-D7-XX-XX (где X - переменное число). Начал рыть уже более профессионально, чем в прошлом году, выяснил, что работает протокол LLTD.
судя по этой спецификации:
http://msdn.microsoft.com/en-us/library/gg463061.aspx (нужно поставить галочку, и нажать download),
в сети существует вполне реальная угроза, о которой гугл почему-то не пишет. Очень странно, что только у меня возникла проблема с блокировкой портов посредством port-sequrity, судя по тому, что гугл опять же ничего не пишет об этом.
Опишу, что происходит. Какой-то неведомый процесс запускает протокол LLTD, который предназначен для определения топологии и параметров сети через второй уровень модели OSI, т.е. распространяется только на тот же сетевой сегмент, что и хост, который ведет разведку (я понял так). Хост, который имеет ответчик LLDT и получил Emit-фрейм от хоста, который строит топологию сети, отвечает на этот фрейм Probe фреймом, который в качестве source MAC address использует что-то типа 00-0D-3A-D7-F1-41, вместо реального адреса сетевой карты. Он и блокирует порт. Если port-security не настраивать, злоумышленник, при помощи бесплатно распространяемой софтины может получить через этот протокол нехилое количество информации о сети, хорошее подспорье для организации всяческих DDoS атак. Надеюсь, хотя бы кому-нибудь будет полезна эта инфа.
0
MonaxGT
Эксперт по компьютерным сетям
277 / 277 / 25
Регистрация: 02.08.2012
Сообщений: 1,230
22.04.2014, 17:48 4
SwkIrgups, я думаю все слышали и видили плод данного протокола в виде карты сети в windows. Наверняка эту службу можно отключить. Как вариант поставить другой тип portsec
0
SwkIrgups
11 / 11 / 0
Регистрация: 16.01.2013
Сообщений: 95
23.04.2014, 13:50  [ТС] 5
В том то и дело, что и я сам и слышал и видел эту карту, только это не помогло мне никак в решении моей проблемы, равно как и то, что все об этом слышали и видели - более чем за год в этой ветке ни одного сообщения. Поэтому, разобравшись в проблеме, изучив работу этого протокола, я кратко изложил ее суть здесь, с тем, что бы тот, кто с этой проблемой столкнется как я (а это действительно проблема, когда несколько сотен портов одновременно переходит в состояние err-disabled), мог достаточно оперативно найти для себя пути ее решения, найдя эту ветку на форуме. Еще бы тему изменить, чтоб проще было найти. По части, касаемо конкретно моей сети, переключение с режима shutdown на restrict и отключение служб невозможно в большинстве случаев, так как проблема носит системный характер и требует комплексного решения. Этот комплекс уже разработан и исполняется.

Заказываю контрольные, курсовые, дипломные и любые другие студенческие работы здесь.

0
23.04.2014, 13:50
StackOverflow
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
23.04.2014, 13:50

Срабатывает if(ERR) после (if !ERR)
Использую сторонний модуль, который возвращает ответ по API. Обычно всё работало хорошо, но...

input[type="submit"][disabled!=disabled]:hover
Здравствуйте. У меня для кнопок типа submit и button есть стили input, input, button { ... } ...

Работа с UDP протоколом за роутером (Port Restricted Cone NAT и в добавок Random port )
Посылая сообщение на внешний ip Nat роутера меняет порт.... и при попытки отправить ответ и...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
5
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2019, vBulletin Solutions, Inc.
Рейтинг@Mail.ru