Port-security множественный err-disabled

@SwkIrgups · Регистрация: 16.01.2013

Author24 — интернет-сервис помощи студентам

Имеется достаточно разветвленная сеть в состав которой входят разнообразные коммутаторы Cisco. Практически всюду на портах включен порт-секьюрити с violation shutdown. Периодически, где-то раз в два месяца, происходит такая катастрофа: одновременно переходят в состояние err-disabled огромное количество портов на всех коммутаторах, за исключением основного шлюза cisco 6513. Все порты болкируются неизвестными мас-адресами, принадлежащими компании Microsoft. На машинах, которые блокируют порты стоит, в основном, ХР, местами семерка.
Поиск в гугле показал, что такая проблема довольно распространенная, но внятного объяснения я не нашел. Можно было бы решить проблему переходом на violation restrict, но такое противоречит политике пользования сетью учреждения, поэтому и приходится бросать все и снимать блокировки весь день. Может кто сталкивался с этой бедой? Как боролись?

@SwkIrgups · 26.02.2014, 14:01 **[ТС]**

Проблема самоликвидировалась при грамотной модернизации структуры сети в соответствии с рекомендациями циско. Тема закрыта.

@SwkIrgups · 22.04.2014, 15:09 **[ТС]**

А нифига! У меня пердимоноколь из глаза сегодня выпал, когда телефон техподдержки порвало от звонков пользователей, а на сервере snmp я не успевал замечать, как страницы лога залистываются. Множественный error-disabled, порты блокируются мак-адресами 00-0D-3A-D7-XX-XX (где X - переменное число). Начал рыть уже более профессионально, чем в прошлом году, выяснил, что работает протокол LLTD.
судя по этой спецификации:
http://msdn.microsoft.com/en-u... 63061.aspx (нужно поставить галочку, и нажать download),
в сети существует вполне реальная угроза, о которой гугл почему-то не пишет. Очень странно, что только у меня возникла проблема с блокировкой портов посредством port-sequrity, судя по тому, что гугл опять же ничего не пишет об этом.
Опишу, что происходит. Какой-то неведомый процесс запускает протокол LLTD, который предназначен для определения топологии и параметров сети через второй уровень модели OSI, т.е. распространяется только на тот же сетевой сегмент, что и хост, который ведет разведку (я понял так). Хост, который имеет ответчик LLDT и получил Emit-фрейм от хоста, который строит топологию сети, отвечает на этот фрейм Probe фреймом, который в качестве source MAC address использует что-то типа 00-0D-3A-D7-F1-41, вместо реального адреса сетевой карты. Он и блокирует порт. Если port-security не настраивать, злоумышленник, при помощи бесплатно распространяемой софтины может получить через этот протокол нехилое количество информации о сети, хорошее подспорье для организации всяческих DDoS атак. Надеюсь, хотя бы кому-нибудь будет полезна эта инфа.

@MonaxGT · 22.04.2014, 17:48

SwkIrgups, я думаю все слышали и видили плод данного протокола в виде карты сети в windows. Наверняка эту службу можно отключить. Как вариант поставить другой тип portsec

@SwkIrgups · 23.04.2014, 13:50 **[ТС]**

В том то и дело, что и я сам и слышал и видел эту карту, только это не помогло мне никак в решении моей проблемы, равно как и то, что все об этом слышали и видели - более чем за год в этой ветке ни одного сообщения. Поэтому, разобравшись в проблеме, изучив работу этого протокола, я кратко изложил ее суть здесь, с тем, что бы тот, кто с этой проблемой столкнется как я (а это действительно проблема, когда несколько сотен портов одновременно переходит в состояние err-disabled), мог достаточно оперативно найти для себя пути ее решения, найдя эту ветку на форуме. Еще бы тему изменить, чтоб проще было найти. По части, касаемо конкретно моей сети, переключение с режима shutdown на restrict и отключение служб невозможно в большинстве случаев, так как проблема носит системный характер и требует комплексного решения. Этот комплекс уже разработан и исполняется.

@SwkIrgups 11 / 11 / 0 Регистрация: 16.01.2013 Сообщений: 95
		1
	Port-security множественный err-disabled 02.03.2013, 18:33. Показов 2668. Ответов 4 Метки нет (Все метки) Имеется достаточно разветвленная сеть в состав которой входят разнообразные коммутаторы Cisco. Практически всюду на портах включен порт-секьюрити с violation shutdown. Периодически, где-то раз в два месяца, происходит такая катастрофа: одновременно переходят в состояние err-disabled огромное количество портов на всех коммутаторах, за исключением основного шлюза cisco 6513. Все порты болкируются неизвестными мас-адресами, принадлежащими компании Microsoft. На машинах, которые блокируют порты стоит, в основном, ХР, местами семерка. Поиск в гугле показал, что такая проблема довольно распространенная, но внятного объяснения я не нашел. Можно было бы решить проблему переходом на violation restrict, но такое противоречит политике пользования сетью учреждения, поэтому и приходится бросать все и снимать блокировки весь день. Может кто сталкивался с этой бедой? Как боролись? 0

@SwkIrgups 11 / 11 / 0 Регистрация: 16.01.2013 Сообщений: 95
	26.02.2014, 14:01 [ТС]	2
	Проблема самоликвидировалась при грамотной модернизации структуры сети в соответствии с рекомендациями циско. Тема закрыта. 0

@SwkIrgups 11 / 11 / 0 Регистрация: 16.01.2013 Сообщений: 95
	22.04.2014, 15:09 [ТС]	3
	А нифига! У меня пердимоноколь из глаза сегодня выпал, когда телефон техподдержки порвало от звонков пользователей, а на сервере snmp я не успевал замечать, как страницы лога залистываются. Множественный error-disabled, порты блокируются мак-адресами 00-0D-3A-D7-XX-XX (где X - переменное число). Начал рыть уже более профессионально, чем в прошлом году, выяснил, что работает протокол LLTD. судя по этой спецификации: http://msdn.microsoft.com/en-u... 63061.aspx (нужно поставить галочку, и нажать download), в сети существует вполне реальная угроза, о которой гугл почему-то не пишет. Очень странно, что только у меня возникла проблема с блокировкой портов посредством port-sequrity, судя по тому, что гугл опять же ничего не пишет об этом. Опишу, что происходит. Какой-то неведомый процесс запускает протокол LLTD, который предназначен для определения топологии и параметров сети через второй уровень модели OSI, т.е. распространяется только на тот же сетевой сегмент, что и хост, который ведет разведку (я понял так). Хост, который имеет ответчик LLDT и получил Emit-фрейм от хоста, который строит топологию сети, отвечает на этот фрейм Probe фреймом, который в качестве source MAC address использует что-то типа 00-0D-3A-D7-F1-41, вместо реального адреса сетевой карты. Он и блокирует порт. Если port-security не настраивать, злоумышленник, при помощи бесплатно распространяемой софтины может получить через этот протокол нехилое количество информации о сети, хорошее подспорье для организации всяческих DDoS атак. Надеюсь, хотя бы кому-нибудь будет полезна эта инфа. 0

@MonaxGT 278 / 278 / 25 Регистрация: 02.08.2012 Сообщений: 1,232
	22.04.2014, 17:48	4
	SwkIrgups, я думаю все слышали и видили плод данного протокола в виде карты сети в windows. Наверняка эту службу можно отключить. Как вариант поставить другой тип portsec 0

@SwkIrgups 11 / 11 / 0 Регистрация: 16.01.2013 Сообщений: 95
	23.04.2014, 13:50 [ТС]	5
	В том то и дело, что и я сам и слышал и видел эту карту, только это не помогло мне никак в решении моей проблемы, равно как и то, что все об этом слышали и видели - более чем за год в этой ветке ни одного сообщения. Поэтому, разобравшись в проблеме, изучив работу этого протокола, я кратко изложил ее суть здесь, с тем, что бы тот, кто с этой проблемой столкнется как я (а это действительно проблема, когда несколько сотен портов одновременно переходит в состояние err-disabled), мог достаточно оперативно найти для себя пути ее решения, найдя эту ветку на форуме. Еще бы тему изменить, чтоб проще было найти. По части, касаемо конкретно моей сети, переключение с режима shutdown на restrict и отключение служб невозможно в большинстве случаев, так как проблема носит системный характер и требует комплексного решения. Этот комплекс уже разработан и исполняется. 0