11 / 11 / 0
Регистрация: 16.01.2013
Сообщений: 95
|
|
1 | |
Port-security множественный err-disabled02.03.2013, 18:33. Показов 2671. Ответов 4
Метки нет (Все метки)
Имеется достаточно разветвленная сеть в состав которой входят разнообразные коммутаторы Cisco. Практически всюду на портах включен порт-секьюрити с violation shutdown. Периодически, где-то раз в два месяца, происходит такая катастрофа: одновременно переходят в состояние err-disabled огромное количество портов на всех коммутаторах, за исключением основного шлюза cisco 6513. Все порты болкируются неизвестными мас-адресами, принадлежащими компании Microsoft. На машинах, которые блокируют порты стоит, в основном, ХР, местами семерка.
Поиск в гугле показал, что такая проблема довольно распространенная, но внятного объяснения я не нашел. Можно было бы решить проблему переходом на violation restrict, но такое противоречит политике пользования сетью учреждения, поэтому и приходится бросать все и снимать блокировки весь день. Может кто сталкивался с этой бедой? Как боролись?
0
|
02.03.2013, 18:33 | |
Ответы с готовыми решениями:
4
Security port на транковом порту резервирование маршрутизатора и port-security на каталисте The Bat 7.* отправляет, но не принимает почту ошибка -ERR [AUTH] login failure or POP3 disabled Ошибка chmod() has been disabled for security reasons |
11 / 11 / 0
Регистрация: 16.01.2013
Сообщений: 95
|
|
26.02.2014, 14:01 [ТС] | 2 |
Проблема самоликвидировалась при грамотной модернизации структуры сети в соответствии с рекомендациями циско. Тема закрыта.
0
|
11 / 11 / 0
Регистрация: 16.01.2013
Сообщений: 95
|
|
22.04.2014, 15:09 [ТС] | 3 |
А нифига! У меня пердимоноколь из глаза сегодня выпал, когда телефон техподдержки порвало от звонков пользователей, а на сервере snmp я не успевал замечать, как страницы лога залистываются. Множественный error-disabled, порты блокируются мак-адресами 00-0D-3A-D7-XX-XX (где X - переменное число). Начал рыть уже более профессионально, чем в прошлом году, выяснил, что работает протокол LLTD.
судя по этой спецификации: http://msdn.microsoft.com/en-u... 63061.aspx (нужно поставить галочку, и нажать download), в сети существует вполне реальная угроза, о которой гугл почему-то не пишет. Очень странно, что только у меня возникла проблема с блокировкой портов посредством port-sequrity, судя по тому, что гугл опять же ничего не пишет об этом. Опишу, что происходит. Какой-то неведомый процесс запускает протокол LLTD, который предназначен для определения топологии и параметров сети через второй уровень модели OSI, т.е. распространяется только на тот же сетевой сегмент, что и хост, который ведет разведку (я понял так). Хост, который имеет ответчик LLDT и получил Emit-фрейм от хоста, который строит топологию сети, отвечает на этот фрейм Probe фреймом, который в качестве source MAC address использует что-то типа 00-0D-3A-D7-F1-41, вместо реального адреса сетевой карты. Он и блокирует порт. Если port-security не настраивать, злоумышленник, при помощи бесплатно распространяемой софтины может получить через этот протокол нехилое количество информации о сети, хорошее подспорье для организации всяческих DDoS атак. Надеюсь, хотя бы кому-нибудь будет полезна эта инфа.
0
|
278 / 278 / 25
Регистрация: 02.08.2012
Сообщений: 1,232
|
|
22.04.2014, 17:48 | 4 |
SwkIrgups, я думаю все слышали и видили плод данного протокола в виде карты сети в windows. Наверняка эту службу можно отключить. Как вариант поставить другой тип portsec
0
|
11 / 11 / 0
Регистрация: 16.01.2013
Сообщений: 95
|
|
23.04.2014, 13:50 [ТС] | 5 |
В том то и дело, что и я сам и слышал и видел эту карту, только это не помогло мне никак в решении моей проблемы, равно как и то, что все об этом слышали и видели - более чем за год в этой ветке ни одного сообщения. Поэтому, разобравшись в проблеме, изучив работу этого протокола, я кратко изложил ее суть здесь, с тем, что бы тот, кто с этой проблемой столкнется как я (а это действительно проблема, когда несколько сотен портов одновременно переходит в состояние err-disabled), мог достаточно оперативно найти для себя пути ее решения, найдя эту ветку на форуме. Еще бы тему изменить, чтоб проще было найти. По части, касаемо конкретно моей сети, переключение с режима shutdown на restrict и отключение служб невозможно в большинстве случаев, так как проблема носит системный характер и требует комплексного решения. Этот комплекс уже разработан и исполняется.
0
|
23.04.2014, 13:50 | |
23.04.2014, 13:50 | |
Помогаю со студенческими работами здесь
5
Warning: exec() has been disabled for security reasons Срабатывает if(ERR) после (if !ERR) input[type="submit"][disabled!=disabled]:hover Работа с UDP протоколом за роутером (Port Restricted Cone NAT и в добавок Random port ) Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |